iboss

集成版本:9.0

使用场景

  1. 执行扩充操作 - 从 iboss 获取数据,以扩充 Google Security Operations 提醒中的数据。
  2. 执行主动操作 - 在 Google SecOps 中阻止 iboss 中的 IP 或网址。

产品权限

为了进行身份验证,操作会执行两次请求。第一个请求用于获取令牌,第二个请求用于获取特殊的 XSRF 令牌。

在 Google SecOps 中配置 iboss 集成

有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成

集成参数

使用以下参数配置集成:

参数显示名称 类型 默认值 是否为必需属性 说明
实例名称 字符串 不适用 您打算为其配置集成的实例的名称。
说明 字符串 不适用 实例的说明。
Cloud API 根 字符串 https://cloud.iboss.com/ 指定 iboss 云 API 根。
账号 API 根地址 字符串 https://accounts.iboss.com/ 指定 iboss 账号 API 根。
用户名 字符串 不适用 指定 iboss 账号的用户名。
密码 密码 不适用 指定 iboss 账号的密码。
验证 SSL 复选框 尚未核查 如果启用,则验证与 iboss 公有云服务器的连接的 SSL 证书是否有效。
远程运行 复选框 勾选 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。

操作

Ping

说明

使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数测试与 iboss 的连接。

运行于

此操作不会在实体上运行,也没有强制性输入参数。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
案例墙
结果类型 值 / 说明 类型
输出消息*

该操作不应失败,也不应停止 playbook 执行
如果成功
打印“Successfully connected to the iboss server with the provided connection parameters!”

操作应失败并停止 playbook 执行
如果不成功

print "Failed to connect to the iboss server! 错误为 {0}".format(exception.stacktrace)

 常规

将网址添加到政策屏蔽名单

说明

将网址添加到 iboss 屏蔽名单。

如何查找类别 ID

  1. 依次前往网络安全 -> 政策层
  2. 打开开发者工具控制台(在 Google Chrome 中按 Ctrl + Shift + I)。
  3. 前往“网络”标签页
  4. 尝试修改所需的屏蔽名单。

在控制台中,您会看到正在发出的请求。在这些请求中搜索 customCategoryId=xxxx 参数。

参数
参数显示名称 类型 默认值 是否为必需属性 说明
类别 ID 整数 1001 指定要将网址添加到哪个政策类别。
优先级 整数 50 指定需要屏蔽的网址的优先级。
方向 DDL

目的地

可能的值:

目的地

来源

目的地和来源

 指定网址的方向。
开始携号转网 整数 不适用 指定与需要屏蔽的网址相关的起始端口。注意:如果仅指定了“起始端口”或“结束端口”,则该值将添加到两个操作参数中。
结束携号转网 整数 不适用 指定需要屏蔽的网址的相关结束端口。注意:如果仅指定了“起始端口”或“结束端口”,则该值将添加到两个操作参数中。
注意 字符串 不适用 添加与需要屏蔽的网址相关的备注。
是正则表达式 复选框 尚未核查 如果启用,系统会将网址视为正则表达式。
条带方案 复选框 尚未核查 如果启用,操作将剥离与网址相关的方案。

运行于

此操作适用于以下实体:

  • 网址
  • 主机名

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少一个提供的网址被屏蔽(is_success = true)
打印“Successfully blocked the following 网址s in the iboss category with ID {0}: \n {1}".format(category_id, entity.identifier list)

如果无法屏蔽特定网址(is_success = true)
print "Action was not able to block the following 网址s in the iboss category with ID {0}\n: {1}".format(category_id, [entity.identifier])

如果未能丰富所有实体(is_success = false)

print: "No 网址s were blocked in the iboss category with ID {0}.".format(category_id)

如果政策不是屏蔽列表(is_success = false)

print "Category with ID {category_id} is not associated with a Block list."

操作应失败并停止 playbook 执行

如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误

print "Error executing action "Add 网址 to Policy Block List". 原因:{0}''.format(error.Stacktrace)

 常规

将 IP 添加到政策屏蔽名单

说明

将 IP 添加到 iboss 屏蔽名单。

如何查找类别 ID

  1. 依次前往网络安全 -> 政策层
  2. 打开开发者工具控制台(在 Google Chrome 中按 Ctrl + Shift + I)。
  3. 前往“网络”标签页
  4. 尝试修改所需的屏蔽名单。

在控制台中,您会看到正在发出的请求。在这些请求中搜索 customCategoryId=xxxx 参数。

参数
参数显示名称 类型 默认值 是否为必需属性 说明
类别 ID 整数 1001 指定要将网址添加到哪个政策类别。
优先级 整数 50 指定需要屏蔽的网址的优先级。
方向 DDL

目的地

可能的值:

目的地

来源

目的地和来源

 指定网址的方向。
开始携号转网 整数 不适用 指定与需要屏蔽的网址相关的起始端口。注意:如果仅指定了“起始端口”或“结束端口”,则该值将添加到两个操作参数中。
结束携号转网 整数 不适用 指定需要屏蔽的网址的相关结束端口。注意:如果仅指定了“起始端口”或“结束端口”,则该值将添加到两个操作参数中。
注意 字符串 不适用 添加与需要屏蔽的网址相关的备注。
是正则表达式 复选框 错误 如果启用,网址将被视为正则表达式。

运行于

此操作在 IP 地址实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少一个提供的网址被屏蔽(is_success = true)
打印“Successfully blocked the following 网址s in the iboss category with ID {0}: \n {1}".format(category_id, entity.identifier list)

如果无法屏蔽特定网址(is_success = true)
print "Action was not able to block the following 网址s in the iboss category with ID {0}\n: {1}".format(category_id, [entity.identifier])

如果未能丰富所有实体(is_success = false)

print: "No 网址s were blocked in the iboss category with ID {0}.".format(category_id)

如果政策不是禁播列表 (is_success = false)

print "Category with ID {category_id} is not associated with a Block list."

操作应失败并停止 playbook 执行

如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误

print "Error executing action "Add 网址 to Policy Block List". 原因:{0}''.format(error.Stacktrace)

 常规

将 IP 添加到政策屏蔽名单

说明

将 IP 添加到 iboss 屏蔽名单。

如何查找类别 ID

  1. 依次前往网络安全 -> 政策层
  2. 打开开发者工具控制台(在 Google Chrome 中按 Ctrl + Shift + I)。
  3. 前往“网络”标签页
  4. 尝试修改所需的屏蔽名单。

在控制台中,您会看到正在发出的请求。在这些请求中搜索 customCategoryId=xxxx 参数。

参数
参数显示名称 类型 默认值 是否为必需属性 说明
类别 ID 整数 1001 指定要将 IP 添加到哪个政策类别。
优先级 整数 50 指定需要屏蔽的 IP 的优先级。
方向 DDL

目的地

可能的值:

目的地

来源

目的地和来源

 指定 IP 的方向。
开始携号转网 整数 不适用 指定需要屏蔽的 IP 相关的起始端口。注意:如果仅指定了“起始端口”或“结束端口”,则该值将添加到两个操作参数中。
结束携号转网 整数 不适用 指定与需要屏蔽的 IP 相关的结束端口。注意:如果仅指定了“起始端口”或“结束端口”,则该值将添加到两个操作参数中。
注意 字符串 不适用 添加与需要屏蔽的 IP 相关的备注。
是正则表达式 复选框 尚未核查 如果启用,IP 将被视为正则表达式。

运行于

此操作在 IP 地址实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少有一个提供的 IP 被屏蔽(is_success = true)
打印“Successfully blocked the following IPs in the iboss category with ID {0}: \n {1}”(成功屏蔽了 ID 为 {0} 的 iboss 类别中的以下 IP:\n {1})。format(category_id, entity.identifier list)

如果无法屏蔽特定 IP 地址(is_success = true)
print "Action was not able to block the following IPs in the iboss category with ID {0}\n: {1}".format(category_id, [entity.identifier])

如果未能丰富所有实体(is_success = false)

print: "No IPs were blocked in the iboss category with ID {0}.".format(category_id)

如果政策不是屏蔽列表(is_success = false)

print "Category with ID {category_id} is not associated with a Block list."

操作应失败并停止 playbook 执行

如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误

print "Error executing action "Add IP to Policy Block List". 原因:{0}''.format(error.Stacktrace)

 常规

列出政策屏蔽名单条目

说明

返回特定组中的 iboss 屏蔽列表条目。

如何查找类别 ID

  1. 依次前往网络安全 -> 政策层
  2. 打开开发者工具控制台(在 Google Chrome 中按 Ctrl + Shift + I)。
  3. 前往“网络”标签页
  4. 尝试修改所需的屏蔽名单。

在控制台中,您会看到正在发出的请求。在这些请求中搜索 customCategoryId=xxxx 参数。

参数
参数显示名称 类型 默认值 是否为必需属性 说明
类别 ID 整数 1001 指定要在哪个政策类别中列出屏蔽名单条目。
要返回的条目数上限 整数 50 指定要返回的条目数。

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
{
    "entries": [
       {
          "direction": 0,
          "endPort": 0,
          "isRegex": 0,
          "note": "",
          "priority": 0,
          "startPort": 0,
          "type": 0,
          "url": "asaa.com",
          "weight": 501
       }
    ],
    "message": ""
}
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功返回且有可用数据(is_success = true)
print "Successfully listed entries from the iboss Block List in a category with ID '{0}'".format(category_id)

如果返回且没有数据(is_success = false)

print: "No Block List entries were found in the iboss category with ID {0}.".format(category_id)

如果政策不是屏蔽名单:(is_success = false)

打印“ID 为 {category_id} 的类别未与屏蔽列表相关联。”

操作应失败并停止 playbook 执行

如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误

print "Error executing action "List Policy Block List Entries". 原因:{0}''.format(error.Stacktrace)

 常规
CSV 案例墙

名称:“Block List Entries. 类别 {0}".format(Category)

  • 名称(映射为网址)
  • 优先级(映射为 priority)
  • 权重(映射为 weight)
  • 方向(映射为 direction. 检查操作行为)
  • 开始端口(映射为 startPort)
  • 结束端口(映射为 endPort)
  • 备注(映射为 note)
  • 正则表达式(映射为 isRegex。1 = True,0 = False)

从政策屏蔽名单中移除网址

说明

从 iboss 屏蔽名单中移除网址。

如何查找类别 ID

  1. 依次前往网络安全 -> 政策层
  2. 打开开发者工具控制台(在 Google Chrome 中按 Ctrl + Shift + I)。
  3. 前往“网络”标签页
  4. 尝试修改所需的屏蔽名单。

在控制台中,您会看到正在发出的请求。在这些请求中搜索 customCategoryId=xxxx 参数。

参数
参数显示名称 类型 默认值 是否为必需属性 说明
类别 ID 整数 1001 指定要从哪个政策类别中移除相应网址。
开始携号转网 整数 不适用 指定与需要删除的网址相关的起始端口。如果所需网址具有已定义的起始端口,则此参数是必需的。这是 iboss 的限制。
结束携号转网 整数 不适用 指定与需要删除的网址相关的结束端口。如果所需网址定义了结束端口,则此参数是必需的。这是 iboss 的限制。
条带方案 复选框 未选中 如果启用,操作将剥离与网址相关的方案。

运行于

此操作适用于以下实体:

  • 网址
  • 主机名

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果操作成功且至少一个提供的网址被移除 (is_success = true)
打印“Successfully removed the following 网址s from the iboss category with ID {0}: \n {1}”(已成功从 ID 为 {0} 的 iboss 类别中移除以下网址:\n {1})。format(category_id, entity.identifier list)

如果无法移除特定网址(is_success = true)

print "Action was not able to remove the following 网址s from the category with ID {0}\n: {1}".format(category_id, [entity.identifier])

如果未能丰富所有实体(is_success = false)

打印:“No 网址s were removed from the iboss category with ID {0}.”。format(category_id)

如果政策不是屏蔽列表(is_success = false)

打印“ID 为 {category_id} 的类别未与屏蔽列表相关联。”

操作应失败并停止 playbook 执行

如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误):

print "Error executing action "Remove 网址 from Policy Block List". 原因:{0}''.format(error.Stacktrace)

 常规

从政策屏蔽名单中移除 IP

说明

从 iboss 屏蔽名单中移除 IP。

如何查找类别 ID

  1. 依次前往网络安全 -> 政策层
  2. 打开开发者工具控制台(在 Google Chrome 中按 Ctrl + Shift + I)。
  3. 前往“网络”标签页
  4. 尝试修改所需的屏蔽名单。

在控制台中,您会看到正在发出的请求。在这些请求中搜索 customCategoryId=xxxx 参数。

参数
参数显示名称 类型 默认值 是否为必需属性 说明
类别 ID 整数 1001 指定要从哪个政策类别中移除 IP。
开始携号转网 整数 不适用 指定与需要删除的 IP 相关的起始端口。如果所需网址具有已定义的起始端口,则此参数是必需的。这是 iboss 的限制。
结束携号转网 整数 不适用 指定与需要删除的 IP 相关的结束端口。如果所需 IP 定义了结束端口,则此参数是必需的。这是 iboss 的限制。

运行于

此操作在 IP 地址实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果操作成功且至少一个提供的网址被移除 (is_success = true)
打印“Successfully removed the following IPs from the iboss category with ID {0}: \n {1}".format(category_id, entity.identifier list)

如果无法移除特定网址(is_success = true)

print "Action was not able to remove the following IPs from the iboss category with ID {0}\n: {1}".format(category_id, [entity.identifier])

如果未能丰富所有实体(is_success = false)

print: "No IPs were removed from the iboss category with ID {0}.".format(category_id)

如果政策不是屏蔽名单:(is_success = false)

打印“ID 为 {category_id} 的类别未与屏蔽列表相关联。”

操作应失败并停止 playbook 执行

如果出现致命错误,例如凭据错误、无法连接到服务器等

print "Error executing action "Remove IP from Policy Block List". 原因:{0}''.format(error.Stacktrace)

 常规

网址查询

说明

执行网址查找。

参数

参数显示名称 类型 默认值 是否为必需属性 说明
群组 ID 整数 不适用 指定要为哪个群组执行网址查找。如果未指定任何内容,系统将使用“默认”群组。

运行于

此操作适用于以下实体:

  • 网址
  • 主机名

操作执行结果

实体扩充
扩充项字段名称 来源(JSON 密钥) 逻辑 - 应用场景
IBOSS_group_{group_id}_categories categories 以 JSON 格式提供时
IBOSS_group_{group_id}_action 操作 以 JSON 格式提供时
IBOSS_group_{group_id}_message 消息 以 JSON 格式提供时
脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
{
    "action": "Not Blocked",
    "categories": "Pornography/Nudity",
    "message": "Url Known."
}
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少一个提供的网址已查找(is_success = true)
print "Successfully retrieved information about the following 网址s: \n {0}".format( entity.identifier list)

如果无法查找特定网址(is_success = true)

打印:“无法检索以下网址的相关信息:{0}”。format([entity.identifier])

如果无法查找所有实体(is_success = false)

打印“未检索到有关网址的信息。”

操作应失败并停止 playbook 执行

如果出现致命错误,例如凭据错误、无法连接到服务器等

print "执行操作“网址查找”时出错。原因:{0}''.format(error.Stacktrace)

 常规

网址重新归类

说明

提交网址以重新归类。

运行于

此操作在网址实体上运行。

操作执行结果

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
案例墙
结果类型 值 / 说明 类型
输出消息*

操作不应失败,也不应停止 playbook 执行

如果成功且至少提交了一个提供的网址(is_success = true)
print "Successfully submitted the following 网址s for recategorization: \n {0}".format( entity.identifier list)

如果无法移除特定网址(is_success = true)

print "Action was not able to submit the following 网址s for recategorization\n: {0}".format([entity.identifier])

如果未能丰富所有实体(is_success = false)

打印:“未提交任何网址以供重新归类。”

操作应失败并停止 playbook 执行

如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误

print "Error executing action "网址 Recategorization". 原因:{0}''.format(error.Stacktrace)

 常规

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。