IronPort
Versión de integración: 12.0
Permiso de producto
La API AsyncOS es un sistema basado en roles. El ámbito de las consultas a la API se define en función del rol del usuario. Los usuarios del dispositivo Cisco Content Security Management con los siguientes roles pueden acceder a la API AsyncOS:
- Administrador
- Operador
- Técnico
- Operador de solo lectura
- De invitado
- Administrador web
- Administrador de políticas web
- Administrador de filtrado de URLs
- Administrador de correo
- Usuario del centro de ayuda
Configurar la integración de IronPort en Google SecOps
Configurar la integración de IronPort con un certificado de AC
Si es necesario, puedes verificar tu conexión con un archivo de certificado de AC.
Antes de empezar, asegúrate de que tienes lo siguiente:
- El archivo de certificado de la AC
- La versión más reciente de la integración de IronPort
Para configurar la integración con un certificado de CA, sigue estos pasos:
- Analiza el archivo de certificado de la AC en una cadena Base64.
- Abre la página de parámetros de configuración de la integración.
- Inserta la cadena en el campo CA Certificate File (Archivo de certificado de AC).
- Para comprobar que la integración se ha configurado correctamente, selecciona la casilla Verificar SSL y haz clic en Probar.
Configurar la integración de IronPort en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Dirección del servidor IronPort | Cadena | x.x.x.x | Sí | Dirección del servidor IronPort al que conectarse. |
| Puerto de la API AsyncOS de IronPort | Cadena | 6443 | Verdadero | Puerto de la API AsyncOS de IronPort al que conectarse. |
| Puerto SSH de Ironport | Cadena | 22 | Sí | Puerto SSH de IronPort al que conectarse. |
| Nombre de usuario | Cadena | N/A | Sí | Cuenta de IronPort que se va a usar con la integración. |
| Frase de contraseña (contraseña) | Contraseña | N/A | Sí | Contraseña de la cuenta. |
| Archivo de certificado de AC: analizado en una cadena Base64 | Cadena | N/A | No | N/A |
| Use SSL (Usar SSL) | Casilla | Marcada | No | Especifica si se debe usar HTTPS para conectarse a la API de AsyncOS. |
| Verificar SSL | Casilla | Desmarcada | No | Especifica si se debe habilitar la validación del certificado (se comprobará si el certificado configurado para la API AsyncOS es válido). |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Añadir remitente a lista de bloqueados
Descripción
Añadir un remitente a una lista de bloqueo.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Remitentes | Cadena | N/A | Sí | Dirección del remitente que se va a añadir a la lista de bloqueo. La acción acepta varias direcciones en una lista separada por comas. |
| Lista de filtros | Cadena | N/A | Sí | El nombre de la lista de bloqueo. |
Ejemplos de casos prácticos de guías
Añade un remitente de correo no deseado a la lista negra de IronPort en función del análisis de Google SecOps.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Obtener todos los destinatarios por remitente
Descripción
Obtener una lista de los destinatarios que han recibido correos de un remitente concreto.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Remitente | Cadena | N/A | Sí | Dirección de correo del remitente por la que se va a filtrar. |
| Buscar correos de los últimos X | Entero | 7 | Sí | Especifica un periodo para buscar correos. Ten en cuenta que este valor debe definirse en función de la cantidad de correos procesados por IronPort. Si se proporciona un valor lo suficientemente grande, la acción puede agotar el tiempo de espera. |
| Definir el periodo de búsqueda de correo en | DDL | Días | Sí | Especifica si la búsqueda de correos debe hacerse por días o por horas. |
| Número máximo de destinatarios que se devolverán | Entero | 20 | Sí | Especifica cuántos destinatarios debe devolver la acción. |
| Tamaño de página | Entero | 100 | Sí | Especifica el tamaño de la página que debe usar la acción al buscar correos. |
Ejemplos de casos prácticos de guías
Buscar destinatarios de correo en función del correo del remitente proporcionado en la acción.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| resultados | N/A | N/A |
Resultado de JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A",
"subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
}
}
Obtener todos los destinatarios por asunto
Descripción
Obtener una lista de los destinatarios que han recibido un correo con el mismo asunto.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Asunto | Cadena | N/A | Sí | El asunto por el que se va a filtrar. |
| Buscar correos de los últimos X | Entero | 7 | Sí | Especifica un periodo durante el que buscar correos. Ten en cuenta que este valor debe definirse en función de la cantidad de correos procesados por IronPort. Si se proporciona un valor lo suficientemente grande, la acción puede agotar el tiempo de espera. |
| Definir el periodo de búsqueda de correo en | DDL | Días | Sí | Especifica si las búsquedas de correos deben hacerse con el periodo de días u horas. |
| Número máximo de destinatarios que se devolverán | Entero | 20 | Sí | Especifica cuántos destinatarios debe devolver la acción. |
| Tamaño de página | Entero | 100 | Sí | Especifica el tamaño de la página que debe usar la acción al buscar correos. |
Ejemplos de casos prácticos de guías
Buscar información de correo en IronPort cuando los correos tienen Unicode en el asunto.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| destinatarios | N/A | N/A |
Resultado de JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A"
}
Ver el informe
Descripción
Obtiene información específica de un informe de IronPort.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
Tipo de informe |
Lista desplegable | Valor predeterminado: None | Sí | El tipo de informe que se va a obtener. Nota: Los informes mail_sender_ip_hostname_detail y mail_incoming_ip_hostname_detail se basan en entidades de IP o de host de SecOps de Google, mientras que mail_users_detail se basa en entidades de usuario de SecOps de Google (con dirección de correo electrónico). Otros informes funcionan sin entidades de SecOps de Google. |
| Datos de informes de búsqueda de los últimos X días | Entero | 7 | Sí | Especifica un periodo en días para buscar datos de informes. De forma predeterminada, se muestran los últimos 7 días. |
| Número máximo de registros que se devolverán | Entero | 20 | Sí | Especifica cuántos registros debe devolver la acción. |
Ejemplos de casos prácticos de guías
Obtener información de informes del servidor IronPort para analizar alertas en Google SecOps.
Fecha de ejecución
- IP o HOST: informes mail_sender_ip_hostname_detail y mail_incoming_ip_hostname_detail
- USER - mail_users_detail report
- NONE: otros tipos de informes funcionan sin entidades de Google SecOps.
Resultados de la acción
Enriquecimiento de entidades
El enriquecimiento de entidades debería funcionar como en la acción actual: si el informe devuelve datos de una entidad específica de Google SecOps, se deben usar esos datos para el enriquecimiento.
Consulta el código de acción para obtener información.
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
{
"meta": {
"totalCount": -1
},
"data": {
"type": "mail_sender_ip_hostname_detail",
"resultSet": {
"time_intervals": [
{
"end_timestamp": 1590969599.0,
"counter_values": [
{
"counter_values": [
0,
0,
0,
0,
8,
8,
0,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1588291200.0,
"end_time": "2020-05-31T23:59:00.000Z",
"begin_time": "2020-05-01T00:00:00.000Z"
},
{
"end_timestamp": 1593561599.0,
"counter_values": [
{
"counter_values": [
0,
0,
6,
0,
5,
11,
6,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1590969600.0,
"end_time": "2020-06-30T23:59:00.000Z",
"begin_time": "2020-06-01T00:00:00.000Z"
}
],
"counter_names": [
"detected_virus",
"detected_spam",
"threat_content_filter",
"total_dlp_incidents",
"total_clean_recipients",
"total_recipients_processed",
"total_threat_recipients",
"detected_amp"
]
}
}
}
Ping
Descripción
Prueba la conectividad con el servidor IronPort con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.