iboss

Versión de integración: 9.0

Casos prácticos

  1. Realizar acciones de enriquecimiento: obtener datos de iboss para enriquecer los datos de las alertas de Google Security Operations.
  2. Realizar acciones activas: bloquear una IP o una URL en iboss desde Google SecOps.

Permiso de producto

Para autenticar, las acciones realizan dos solicitudes. La primera solicitud es para obtener un token y la segunda, para obtener un token XSRF especial.

Configurar la integración de iboss en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la instancia Cadena N/A No Nombre de la instancia para la que quiere configurar la integración.
Descripción Cadena N/A No Descripción de la instancia.
Raíz de la API de Cloud Cadena https://cloud.iboss.com/ Especifica la raíz de la API de la nube de iboss.
Raíz de la API Account Cadena https://accounts.iboss.com/ Especifica la raíz de la API de cuenta de iboss.
Nombre de usuario Cadena N/A Especifica el nombre de usuario de la cuenta de iboss.
Contraseña Contraseña N/A Especifica la contraseña de la cuenta de iboss.
Verificar SSL Casilla Desmarcada No Si está habilitada, comprueba que el certificado SSL de la conexión al servidor de la nube pública de iboss sea válido.
Ejecutar de forma remota Casilla Marcada No Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Ping

Descripción

Prueba la conectividad con iboss con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Fecha de ejecución

Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias:
si se realiza correctamente:
imprime "Successfully connected to the iboss server with the provided connection parameters!" (Conexión establecida correctamente con el servidor de iboss con los parámetros de conexión proporcionados).

La acción debería fallar y detener la ejecución de una guía:
if not successful:

imprime "No se ha podido conectar con el servidor de iboss. Error: {0}".format(exception.stacktrace)

 General

Añadir URL a la lista de bloqueo de políticas

Descripción

Añade la URL a la lista de bloqueo de iboss.

Cómo encontrar el ID de categoría

  1. Ve a Seguridad web -> Capas de políticas.
  2. Abre la consola de herramientas para desarrolladores (Ctrl + Mayús + I en Google Chrome).
  3. Ve a la pestaña Red.
  4. Intenta editar la lista de bloqueo necesaria.

En la consola, verás las solicitudes que se están enviando. Busca entre esas solicitudes el parámetro customCategoryId=xxxx.

Parámetros
Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de categoría Entero 1001 Especifica a qué categoría de política quieres añadir la URL.
Prioridad Entero 50 Especifica la prioridad de la URL que debe bloquearse.
Dirección DDL

Destino

Posibles valores:

Destino

Fuente

Destino y origen

 Especifica la dirección de la URL.
Iniciar portabilidad Entero N/A No Especifica el puerto de inicio relacionado con la URL que se debe bloquear. Nota: Si solo se especifica "Puerto inicial" o "Puerto final", el valor se añadirá a ambos parámetros de acción.
Puerto final Entero N/A No Especifica el puerto final relacionado con la URL que se debe bloquear. Nota: Si solo se especifica "Puerto inicial" o "Puerto final", el valor se añadirá a ambos parámetros de acción.
Nota Cadena N/A No Añade una nota relacionada con la URL que debe bloquearse.
Es una expresión regular Casilla Desmarcada No Si se habilita, la URL se considerará una expresión regular.
Esquema de tiras Casilla Desmarcada No Si se habilita, la acción eliminará el esquema relacionado con la URL.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • URL
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se ha realizado correctamente y se ha bloqueado al menos una de las URLs proporcionadas(is_success = true):
print "Successfully blocked the following URLs in the iboss category with ID {0}: \n {1}".format(category_id, entity.identifier list)

Si no se pueden bloquear URLs específicas(is_success = true):
print "Action was not able to block the following URLs in the iboss category with ID {0}\n: {1}".format(category_id, [entity.identifier])

Si no se puede enriquecer ninguna entidad (is_success = false):

print: "No se ha bloqueado ninguna URL en la categoría iboss con el ID {0}.".format(category_id)

Si Policy no es una lista de bloqueo (is_success = false):

print "La categoría con el ID {category_id} no está asociada a ninguna lista de bloqueo."

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

print "Error al ejecutar la acción "Add URL to Policy Block List". Motivo: {0}''.format(error.Stacktrace)

 General

Añadir una IP a la lista de bloqueo de políticas

Descripción

Añade la IP a la lista de bloqueo de iboss.

Cómo encontrar el ID de categoría

  1. Ve a Seguridad web -> Capas de políticas.
  2. Abre la consola de herramientas para desarrolladores (Ctrl + Mayús + I en Google Chrome).
  3. Ve a la pestaña Red.
  4. Intenta editar la lista de bloqueo necesaria.

En la consola, verás las solicitudes que se están enviando. Busca entre esas solicitudes el parámetro customCategoryId=xxxx.

Parámetros
Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de categoría Entero 1001 Especifica a qué categoría de política quieres añadir la URL.
Prioridad Entero 50 Especifica la prioridad de la URL que debe bloquearse.
Dirección DDL

Destino

Posibles valores:

Destino

Fuente

Destino y origen

 Especifica la dirección de la URL.
Iniciar portabilidad Entero N/A No Especifica el puerto de inicio relacionado con la URL que se debe bloquear. Nota: Si solo se especifica "Puerto inicial" o "Puerto final", el valor se añadirá a ambos parámetros de acción.
Puerto final Entero N/A No Especifica el puerto final relacionado con la URL que se debe bloquear. Nota: Si solo se especifica "Puerto inicial" o "Puerto final", el valor se añadirá a ambos parámetros de acción.
Nota Cadena N/A No Añade una nota relacionada con la URL que debe bloquearse.
Es una expresión regular Casilla Falso No Si se habilita esta opción, la URL se considerará una expresión regular.

Fecha de ejecución

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se ha realizado correctamente y se ha bloqueado al menos una de las URLs proporcionadas(is_success = true):
print "Successfully blocked the following URLs in the iboss category with ID {0}: \n {1}".format(category_id, entity.identifier list)

Si no se pueden bloquear URLs específicas(is_success = true):
print "Action was not able to block the following URLs in the iboss category with ID {0}\n: {1}".format(category_id, [entity.identifier])

Si no se puede enriquecer ninguna entidad (is_success = false):

print: "No se ha bloqueado ninguna URL en la categoría iboss con el ID {0}.".format(category_id)

Si Policy no es una lista de bloqueo (is_success = false):

print "La categoría con el ID {category_id} no está asociada a ninguna lista de bloqueo."

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

print "Error al ejecutar la acción "Add URL to Policy Block List". Motivo: {0}''.format(error.Stacktrace)

 General

Añadir una IP a la lista de bloqueo de políticas

Descripción

Añade la IP a la lista de bloqueo de iboss.

Cómo encontrar el ID de categoría

  1. Ve a Seguridad web -> Capas de políticas.
  2. Abre la consola de herramientas para desarrolladores (Ctrl + Mayús + I en Google Chrome).
  3. Ve a la pestaña Red.
  4. Intenta editar la lista de bloqueo necesaria.

En la consola, verás las solicitudes que se están enviando. Busca entre esas solicitudes el parámetro customCategoryId=xxxx.

Parámetros
Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de categoría Entero 1001 Especifica a qué categoría de política quieres añadir la IP.
Prioridad Entero 50 Especifica la prioridad de la IP que se debe bloquear.
Dirección DDL

Destino

Posibles valores:

Destino

Fuente

Destino y origen

 Especifica la dirección IP.
Iniciar portabilidad Entero N/A No Especifica el puerto de inicio relacionado con la IP que se debe bloquear. Nota: Si solo se especifica "Puerto inicial" o "Puerto final", el valor se añadirá a ambos parámetros de acción.
Puerto final Entero N/A No Especifica el puerto final relacionado con la IP que se debe bloquear. Nota: Si solo se especifica "Puerto inicial" o "Puerto final", el valor se añadirá a ambos parámetros de acción.
Nota Cadena N/A No Añade una nota relacionada con la IP que se debe bloquear.
Es una expresión regular Casilla Desmarcada No Si se habilita, la IP se considerará una expresión regular.

Fecha de ejecución

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se bloquea al menos una de las IPs proporcionadas(is_success = true):
print "Successfully blocked the following IPs in the iboss category with ID {0}: \n {1}".format(category_id, entity.identifier list)

Si no se pueden bloquear IPs específicas(is_success = true):
print "Action was not able to block the following IPs in the iboss category with ID {0}\n: {1}".format(category_id, [entity.identifier])

Si no se puede enriquecer ninguna entidad (is_success = false):

print: "No se ha bloqueado ninguna IP en la categoría iboss con el ID {0}.".format(category_id)

Si Policy no es una lista de bloqueo (is_success = false):

print "La categoría con el ID {category_id} no está asociada a ninguna lista de bloqueo."

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

print "Error al ejecutar la acción "Add IP to Policy Block List". Motivo: {0}''.format(error.Stacktrace)

 General

List Policy Block List Entries

Descripción

Devuelve las entradas de la lista de bloqueo de iboss de un grupo específico.

Cómo encontrar el ID de categoría

  1. Ve a Seguridad web -> Capas de políticas.
  2. Abre la consola de herramientas para desarrolladores (Ctrl + Mayús + I en Google Chrome).
  3. Ve a la pestaña Red.
  4. Intenta editar la lista de bloqueo necesaria.

En la consola, verás las solicitudes que se están enviando. Busca entre esas solicitudes el parámetro customCategoryId=xxxx.

Parámetros
Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de categoría Entero 1001 Especifica en qué categoría de política quieres incluir las entradas de la lista de bloqueo.
Número máximo de entradas que se devolverán Entero 50 Especifica cuántas entradas quieres que se devuelvan.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
{
    "entries": [
       {
          "direction": 0,
          "endPort": 0,
          "isRegex": 0,
          "note": "",
          "priority": 0,
          "startPort": 0,
          "type": 0,
          "url": "asaa.com",
          "weight": 501
       }
    ],
    "message": ""
}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se ha devuelto correctamente y hay datos disponibles(is_success = true):
print "Successfully listed entries from the iboss Block List in a category with ID '{0}'".format(category_id)

Si se devuelve y no hay datos (is_success = false):

print: "No se han encontrado entradas de la lista de bloqueo en la categoría de iboss con el ID {0}.".format(category_id)

Si Policy no es una lista de bloqueo: (is_success = false)

Imprime "Category with ID {category_id} is not associated with a Block list."

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

print "Error al ejecutar la acción "List Policy Block List Entries". Motivo: {0}''.format(error.Stacktrace)

 General
Panel de casos CSV

Nombre: "Block List Entries. Categoría {0}".format(Category)

Columnas:

  • Nombre (asignado como URL)
  • Prioridad (asignada como prioridad)
  • Peso (asignado como peso)
  • Dirección (asignada como direction. Comprobar el comportamiento de la acción)
  • Puerto de inicio (asignado como startPort)
  • Puerto final (asignado como endPort)
  • Nota (asignada como nota)
  • Expresión regular (se asigna como isRegex. 1 = Verdadero, 0 = Falso)

Quitar una URL de la lista de bloqueadas por incumplimiento de las políticas

Descripción

Quitar la URL de la lista de bloqueo de iboss.

Cómo encontrar el ID de categoría

  1. Ve a Seguridad web -> Capas de políticas.
  2. Abre la consola de herramientas para desarrolladores (Ctrl + Mayús + I en Google Chrome).
  3. Ve a la pestaña Red.
  4. Intenta editar la lista de bloqueo necesaria.

En la consola, verás las solicitudes que se están enviando. Busca entre esas solicitudes el parámetro customCategoryId=xxxx.

Parámetros
Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de categoría Entero 1001 Especifica de qué categoría de política quieres retirar la URL.
Iniciar portabilidad Entero N/A No Especifica el puerto de inicio relacionado con la URL que se debe eliminar. Este parámetro es obligatorio si la URL deseada tiene un puerto de inicio definido. Esta es una limitación de iboss.
Puerto final Entero N/A No Especifica el puerto final relacionado con la URL que se debe eliminar. Este parámetro es obligatorio si la URL deseada tiene un puerto final definido. Esta es una limitación de iboss.
Esquema de tiras Casilla Sin marcar No Si se habilita, la acción eliminará el esquema relacionado con la URL.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • URL
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se ha completado correctamente y se ha retirado al menos una de las URLs proporcionadas (is_success = true):
print "Successfully removed the following URLs from the iboss category with ID {0}: \n {1}".format(category_id, entity.identifier list)

Si no se pueden retirar URLs específicas(is_success = true):

print "Action was not able to remove the following URLs from the category with ID {0}\n: {1}".format(category_id, [entity.identifier])

Si no se puede enriquecer ninguna entidad (is_success = false):

Imprimir: "No se ha quitado ninguna URL de la categoría de iboss con el ID {0}.".format(category_id)

Si Policy no es una lista de bloqueo (is_success = false):

Imprime "Category with ID {category_id} is not associated with a Block list."

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

print "Error al ejecutar la acción "Remove URL from Policy Block List". Motivo: {0}''.format(error.Stacktrace)

 General

Quitar IP de la lista de bloqueos de políticas

Descripción

Quitar la IP de la lista de bloqueo de iboss.

Cómo encontrar el ID de categoría

  1. Ve a Seguridad web -> Capas de políticas.
  2. Abre la consola de herramientas para desarrolladores (Ctrl + Mayús + I en Google Chrome).
  3. Ve a la pestaña Red.
  4. Intenta editar la lista de bloqueo necesaria.

En la consola, verás las solicitudes que se están enviando. Busca entre esas solicitudes el parámetro customCategoryId=xxxx.

Parámetros
Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de categoría Entero 1001 Especifica de qué categoría de política quieres eliminar la IP.
Iniciar portabilidad Entero N/A No Especifica el puerto de inicio relacionado con la IP que se debe eliminar. Este parámetro es obligatorio si la URL deseada tiene un puerto de inicio definido. Esta es una limitación de iboss.
Puerto final Entero N/A No Especifica el puerto final relacionado con la IP que se va a eliminar. Este parámetro es obligatorio si la IP deseada tiene un puerto final definido. Esta es una limitación de iboss.

Fecha de ejecución

Esta acción se ejecuta en la entidad Dirección IP.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se ha retirado al menos una de las URLs proporcionadas (is_success = true):
print "Successfully removed the following IPs from the iboss category with ID {0}: \n {1}".format(category_id, entity.identifier list)

Si no se pueden retirar URLs específicas(is_success = true):

print "Action was not able to remove the following IPs from the iboss category with ID {0}\n: {1}".format(category_id, [entity.identifier])

Si no se puede enriquecer ninguna entidad (is_success = false):

print: "No se ha quitado ninguna IP de la categoría de iboss con el ID {0}.".format(category_id)

Si Policy no es una lista de bloqueo: (is_success = false)

Imprime "Category with ID {category_id} is not associated with a Block list."

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error:

print "Error al ejecutar la acción "Remove IP from Policy Block List". Motivo: {0}''.format(error.Stacktrace)

 General

Búsqueda de URL

Descripción

Realiza una búsqueda de URL.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de grupo Entero N/A No Especifica en qué grupo quieres realizar una búsqueda de URL. Si no se especifica nada, se usará el grupo "Predeterminado".

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • URL
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Fuente (clave JSON) Lógica: cuándo aplicar
IBOSS_group_{group_id}_categories categorías Cuando esté disponible en JSON
IBOSS_group_{group_id}_action acción Cuando esté disponible en JSON
IBOSS_group_{group_id}_message mensaje Cuando esté disponible en JSON
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
{
    "action": "Not Blocked",
    "categories": "Pornography/Nudity",
    "message": "Url Known."
}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente y se ha buscado al menos una de las URLs proporcionadas (is_success = true):
print "Successfully retrieved information about the following URLs: \n {0}".format( entity.identifier list)

Si no se pueden buscar URLs específicas(is_success = true):

Imprimir: "No se ha podido obtener información sobre las siguientes URLs:\n: {0}".format([entity.identifier])

Si no se puede buscar ninguna entidad (is_success = false):

Imprime "No se ha obtenido información sobre las URLs."

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error:

print "Error al ejecutar la acción "Búsqueda de URL". Motivo: {0}''.format(error.Stacktrace)

 General

Recategorización de URLs

Descripción

Enviar URL para que se recategorice.

Fecha de ejecución

Esta acción se ejecuta en la entidad URL.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se ha completado correctamente y se ha enviado al menos una de las URLs proporcionadas(is_success = true):
print "Successfully submitted the following URLs for recategorization: \n {0}".format( entity.identifier list)

Si no se pueden retirar URLs específicas(is_success = true):

print "No se ha podido enviar la siguiente URL para que se vuelva a categorizar:\n: {0}".format([entity.identifier])

Si no se puede enriquecer ninguna entidad (is_success = false):

print: "No se ha enviado ninguna URL para volver a categorizarla."

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

print "Error al ejecutar la acción "URL Recategorization". Motivo: {0}''.format(error.Stacktrace)

 General

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.