IronPort
Integrationsversion: 12.0
Produktberechtigung
Die AsyncOS-API ist ein rollenbasiertes System. Der Umfang von API-Abfragen wird durch die Rolle des Nutzers definiert. Nutzer von Cisco Content Security Management-Appliances mit den folgenden Rollen können auf die AsyncOS API zugreifen:
- Administrator
- Operator
- Techniker
- Operator mit Lesezugriff
- Gast
- Webadministrator
- Webrichtlinienadministrator
- Administrator für URL-Filterung
- E-Mail-Administrator
- Helpdesk-Nutzer
IronPort-Integration in Google SecOps konfigurieren
IronPort-Integration mit einem CA-Zertifikat konfigurieren
Bei Bedarf können Sie Ihre Verbindung mit einer CA-Zertifikatsdatei bestätigen.
Bevor Sie beginnen, benötigen Sie Folgendes:
- Die CA-Zertifikatsdatei
- Die aktuelle Version der IronPort-Integration
Führen Sie die folgenden Schritte aus, um die Integration mit einem CA-Zertifikat zu konfigurieren:
- Parsen Sie Ihre CA-Zertifikatsdatei in eine Base64-Zeichenfolge.
- Öffnen Sie die Seite mit den Konfigurationsparametern für die Integration.
- Fügen Sie den String in das Feld CA Certificate File (Datei mit CA-Zertifikat) ein.
- Wenn Sie prüfen möchten, ob die Integration erfolgreich konfiguriert wurde, klicken Sie das Kästchen SSL prüfen an und klicken Sie auf Testen.
IronPort-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| IronPort-Serveradresse | String | x.x.x.x | Ja | Die IronPort-Serveradresse, mit der eine Verbindung hergestellt werden soll. |
| IronPort AsyncOS API-Port | String | 6443 | Wahr | Der Port, über den die Verbindung zur IronPort AsyncOS API hergestellt wird. |
| IronPort-SSH-Port | String | 22 | Ja | IronPort-SSH-Port für die Verbindung. |
| Nutzername | String | – | Ja | IronPort-Konto, das für die Integration verwendet werden soll. |
| Passphrase (Passwort) | Passwort | – | Ja | Das Passwort für das Konto. |
| CA-Zertifikatsdatei – in Base64-String geparst | String | – | Nein | – |
| Use SSL (SSL verwenden) | Kästchen | Aktiviert | Nein | Geben Sie an, ob HTTPS für die Verbindung zur AsyncOS-API verwendet werden soll. |
| SSL überprüfen | Kästchen | Deaktiviert | Nein | Geben Sie an, ob die Zertifikatsvalidierung aktiviert werden soll. Dabei wird geprüft, ob das für die AsyncOS API konfigurierte Zertifikat gültig ist. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Absender zur Sperrliste hinzufügen
Beschreibung
Absender einer Blockierliste hinzufügen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Absender | String | – | Ja | Die Absenderadresse, die der Blockierliste hinzugefügt werden soll. Die Aktion akzeptiert mehrere Adressen als durch Kommas getrennte Liste. |
| Liste filtern | String | – | Ja | Der Name der Sperrliste. |
Beispiele für Anwendungsfälle von Playbooks
Unerwünschten E-Mail-Absender basierend auf der Analyse in Google SecOps der IronPort-Sperrliste hinzufügen
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Alle Empfänger nach Absender abrufen
Beschreibung
Eine Liste der Empfänger abrufen, die E‑Mails von einem bestimmten Absender erhalten haben.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Absender | String | – | Ja | Die E‑Mail-Adresse des Absenders, nach der gefiltert werden soll. |
| E-Mails der letzten X Tage durchsuchen | Ganzzahl | 7 | Ja | Geben Sie einen Zeitraum an, in dem nach E‑Mails gesucht werden soll. Dieser Wert sollte entsprechend der Anzahl der von IronPort verarbeiteten E‑Mails festgelegt werden. Wenn ein zu großer Wert angegeben wird, kann es zu einem Zeitüberschreitungsfehler kommen. |
| „E‑Mail-Suchzeitraum“ festlegen in | DDL | Tage | Ja | Geben Sie an, ob die Suche nach E-Mails nach Tagen oder Stunden erfolgen soll. |
| Maximale Anzahl zurückzugebender Empfänger | Ganzzahl | 20 | Ja | Geben Sie an, wie viele Empfänger die Aktion zurückgeben soll. |
| Seitengröße | Ganzzahl | 100 | Ja | Geben Sie die Seitengröße für die Aktion an, die beim Suchen nach E‑Mails verwendet werden soll. |
Beispiele für Anwendungsfälle von Playbooks
Suchen Sie anhand der im Vorgang angegebenen E‑Mail-Adresse des Absenders nach E‑Mail-Empfängern.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Ergebnisse | – | – |
JSON-Ergebnis
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A",
"subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
}
}
Alle Empfänger nach Betreff abrufen
Beschreibung
Eine Liste der Empfänger abrufen, die eine E‑Mail mit demselben Betreff erhalten haben.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Betreff | String | – | Ja | Das Thema, nach dem gefiltert werden soll. |
| E-Mails der letzten X Tage durchsuchen | Ganzzahl | 7 | Ja | Geben Sie einen Zeitraum an, in dem nach E‑Mails gesucht werden soll. Dieser Wert sollte entsprechend der Anzahl der von IronPort verarbeiteten E‑Mails festgelegt werden. Wenn ein zu großer Wert angegeben wird, kann es zu einem Zeitlimitüberschreitung kommen. |
| „E‑Mail-Suchzeitraum“ festlegen in | DDL | Tage | Ja | Geben Sie an, ob die Suche nach E-Mails im Zeitraum von Tagen oder Stunden erfolgen soll. |
| Maximale Anzahl zurückzugebender Empfänger | Ganzzahl | 20 | Ja | Geben Sie an, wie viele Empfänger die Aktion zurückgeben soll. |
| Seitengröße | Ganzzahl | 100 | Ja | Geben Sie die Seitengröße für die Aktion an, die beim Suchen nach E‑Mails verwendet werden soll. |
Beispiele für Anwendungsfälle von Playbooks
Suchen Sie in IronPort nach E‑Mail-Informationen, wenn E‑Mails Unicode im Betreff enthalten.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Empfänger | – | – |
JSON-Ergebnis
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A"
}
Bericht abrufen
Beschreibung
Spezifische IronPort-Berichtsinformationen abrufen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
Berichtstyp |
Drop-down-Liste | Standardwert: Keiner | Ja | Der Typ des abzurufenden Berichts. Hinweis:Die Berichte „mail_sender_ip_hostname_detail“ und „mail_incoming_ip_hostname_detail“ basieren auf Google SecOps-IP- oder Host-Entitäten. Der Bericht „mail_users_detail“ basiert auf der Google SecOps-Nutzerentität (mit E-Mail-Adresse). Andere Berichte funktionieren ohne Google SecOps-Entitäten. |
| Daten für Suchberichte für die letzten X Tage | Ganzzahl | 7 | Ja | Geben Sie einen Zeitraum in Tagen an, für den nach Berichtsdaten gesucht werden soll. Standardmäßig ist „Letzte 7 Tage“ eingestellt. |
| Maximale Anzahl zurückzugebender Datensätze | Ganzzahl | 20 | Ja | Geben Sie an, wie viele Datensätze von der Aktion zurückgegeben werden sollen. |
Beispiele für Anwendungsfälle von Playbooks
Berichtsinformationen vom IronPort-Server abrufen, um Warnungen in Google SecOps zu analysieren.
Ausführen am
- IP oder HOST – Berichte „mail_sender_ip_hostname_detail“ und „mail_incoming_ip_hostname_detail“
- USER – mail_users_detail-Bericht
- NONE: Andere Berichtstypen funktionieren ohne Google SecOps-Entitäten.
Aktionsergebnisse
Entitätsanreicherung
Die Entitätsanreicherung sollte wie bei der vorhandenen Aktion funktionieren. Wenn im Bericht Daten für eine bestimmte Google SecOps-Entität zurückgegeben werden, verwenden Sie die zurückgegebenen Daten für die Anreicherung.
Sehen Sie sich den vorhandenen Aktionscode als Referenz an.
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
{
"meta": {
"totalCount": -1
},
"data": {
"type": "mail_sender_ip_hostname_detail",
"resultSet": {
"time_intervals": [
{
"end_timestamp": 1590969599.0,
"counter_values": [
{
"counter_values": [
0,
0,
0,
0,
8,
8,
0,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1588291200.0,
"end_time": "2020-05-31T23:59:00.000Z",
"begin_time": "2020-05-01T00:00:00.000Z"
},
{
"end_timestamp": 1593561599.0,
"counter_values": [
{
"counter_values": [
0,
0,
6,
0,
5,
11,
6,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1590969600.0,
"end_time": "2020-06-30T23:59:00.000Z",
"begin_time": "2020-06-01T00:00:00.000Z"
}
],
"counter_names": [
"detected_virus",
"detected_spam",
"threat_content_filter",
"total_dlp_incidents",
"total_clean_recipients",
"total_recipients_processed",
"total_threat_recipients",
"detected_amp"
]
}
}
}
Ping
Beschreibung
Testen Sie die Verbindung zum IronPort-Server mit den Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten