IronPort
Versión de integración: 12.0
Permiso del producto
La API de AsyncOS es un sistema basado en roles. El alcance de las consultas a la API se define según el rol del usuario. Los usuarios de dispositivos Cisco Content Security Management con los siguientes roles pueden acceder a la API de AsyncOS:
- Administrador
- Operador
- Técnico
- Operador de solo lectura
- Invitado
- Administrador web
- Administrador de políticas web
- Administrador de filtrado de URLs
- Administrador de correo electrónico
- Usuario del departamento de ayuda
Configura la integración de IronPort en Google SecOps
Configura la integración de IronPort con un certificado de CA
Si es necesario, puedes verificar tu conexión con un archivo de certificado de CA.
Antes de comenzar, asegúrate de tener lo siguiente:
- El archivo del certificado de la CA
- La versión de integración de IronPort más reciente
Para configurar la integración con un certificado de CA, completa los siguientes pasos:
- Analiza tu archivo de certificado de CA en una cadena Base64.
- Abre la página de parámetros de configuración de la integración.
- Inserta la cadena en el campo Archivo de certificado de CA.
- Para probar que la integración se configuró correctamente, selecciona la casilla de verificación Verificar SSL y haz clic en Probar.
Configura la integración de IronPort en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Dirección del servidor de IronPort | String | x.x.x.x | Sí | Dirección del servidor de IronPort al que se conectará. |
| Puerto de la API de IronPort AsyncOS | String | 6443 | Verdadero | Es el puerto de la API de IronPort AsyncOS al que se debe conectar. |
| Puerto SSH de IronPort | String | 22 | Sí | Es el puerto SSH de IronPort al que se conectará. |
| Nombre de usuario | String | N/A | Sí | Cuenta de IronPort que se usará con la integración. |
| Frase de contraseña (contraseña) | Contraseña | N/A | Sí | Contraseña de la cuenta. |
| Archivo de certificado de CA: Se analiza en una cadena Base64 | String | N/A | No | N/A |
| Usa SSL | Casilla de verificación | Marcado | No | Especifica si se debe usar HTTPS para conectarse a la API de AsyncOS. |
| Verificar SSL | Casilla de verificación | Desmarcado | No | Especifica si se debe habilitar la validación del certificado (se verificará si el certificado configurado para la API de AsyncOS es válido). |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Agregar remitente a la lista de bloqueo
Descripción
Agregar un remitente a una lista de bloqueo
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Remitentes | String | N/A | Sí | Es la dirección del remitente que se agregará a la lista de bloqueo. La acción acepta varias direcciones como una lista separada por comas. |
| Lista de filtros | String | N/A | Sí | Es el nombre de la lista de bloqueo. |
Ejemplos de casos de uso de manuales
Agrega un remitente de correo electrónico no deseado a la lista negra de IronPort según el análisis de Google SecOps.
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Obtener todos los destinatarios por remitente
Descripción
Obtén una lista de los destinatarios que recibieron correos electrónicos de un remitente determinado.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Remitente | String | N/A | Sí | Es la dirección de correo electrónico del remitente por la que se filtrará. |
| Buscar correos electrónicos de los últimos X | Número entero | 7 | Sí | Especifica un período para buscar correos electrónicos. Ten en cuenta que este valor debe establecerse según la cantidad de correos electrónicos que procesa IronPort. Si se proporciona un valor lo suficientemente grande, la acción puede agotarse. |
| Establece el período de búsqueda de correos electrónicos en | DDL | Días | Sí | Especifica si las búsquedas de correos electrónicos se deben realizar con el período de días u horas. |
| Cantidad máxima de destinatarios que se devolverán | Número entero | 20 | Sí | Especifica cuántos destinatarios debe devolver la acción. |
| Tamaño de la página | Número entero | 100 | Sí | Especifica el tamaño de la página que la acción debe usar cuando busque correos electrónicos. |
Ejemplos de casos de uso de manuales
Buscar destinatarios de correo electrónico según el correo electrónico del remitente proporcionado en la acción
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| resultados | N/A | N/A |
Resultado de JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A",
"subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
}
}
Obtén todos los destinatarios por asunto
Descripción
Obtén una lista de los destinatarios que recibieron un correo electrónico con el mismo asunto.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Asunto | String | N/A | Sí | Es el asunto por el que se filtrará. |
| Buscar correos electrónicos de los últimos X | Número entero | 7 | Sí | Especifica un período para buscar correos electrónicos. Ten en cuenta que este valor debe establecerse según la cantidad de correos electrónicos que procesa IronPort. Si se proporciona un valor lo suficientemente grande, la acción puede agotar el tiempo de espera. |
| Establece el período de búsqueda de correos electrónicos en | DDL | Días | Sí | Especifica si las búsquedas de correos electrónicos se deben realizar con el período de días u horas. |
| Cantidad máxima de destinatarios que se devolverán | Número entero | 20 | Sí | Especifica cuántos destinatarios debe devolver la acción. |
| Tamaño de la página | Número entero | 100 | Sí | Especifica el tamaño de la página que la acción debe usar cuando busque correos electrónicos. |
Ejemplos de casos de uso de manuales
Buscar información de correos electrónicos en IronPort cuando los correos electrónicos tienen Unicode en el asunto
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| destinatarios | N/A | N/A |
Resultado de JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A"
}
Obtener informes
Descripción
Recupera información específica de informes de IronPort.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
Tipo de informe |
Lista desplegable | Valor predeterminado: Ninguno | Sí | Es el tipo de informe que se recuperará. Nota: Los informes mail_sender_ip_hostname_detail y mail_incoming_ip_hostname_detail funcionan en función de las entidades de IP o host de SecOps de Google; mail_users_detail funciona en función de la entidad de usuario de SecOps de Google (con dirección de correo electrónico). Otros informes funcionan sin entidades de Google SecOps. |
| Datos de los informes de búsqueda de los últimos X días | Número entero | 7 | Sí | Especifica un período en días para buscar datos de informes. De forma predeterminada, se establece en los últimos 7 días. |
| Cantidad máxima de registros para devolver | Número entero | 20 | Sí | Especifica cuántos registros debe devolver la acción. |
Ejemplos de casos de uso de manuales
Obtén información de informes del servidor de IronPort para analizar las alertas en Google SecOps.
Ejecutar en
- IP o HOST: Informes de mail_sender_ip_hostname_detail y mail_incoming_ip_hostname_detail
- USUARIO: Informe de mail_users_detail
- NONE: Otros tipos de informes funcionan sin entidades de Google SecOps.
Resultados de la acción
Enriquecimiento de entidades
El enriquecimiento de entidades debe funcionar como en la acción existente: si el informe devolvió datos para una entidad específica de Google SecOps, usa los datos devueltos para el enriquecimiento.
Consulta el código de acción existente como referencia.
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
{
"meta": {
"totalCount": -1
},
"data": {
"type": "mail_sender_ip_hostname_detail",
"resultSet": {
"time_intervals": [
{
"end_timestamp": 1590969599.0,
"counter_values": [
{
"counter_values": [
0,
0,
0,
0,
8,
8,
0,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1588291200.0,
"end_time": "2020-05-31T23:59:00.000Z",
"begin_time": "2020-05-01T00:00:00.000Z"
},
{
"end_timestamp": 1593561599.0,
"counter_values": [
{
"counter_values": [
0,
0,
6,
0,
5,
11,
6,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1590969600.0,
"end_time": "2020-06-30T23:59:00.000Z",
"begin_time": "2020-06-01T00:00:00.000Z"
}
],
"counter_names": [
"detected_virus",
"detected_spam",
"threat_content_filter",
"total_dlp_incidents",
"total_clean_recipients",
"total_recipients_processed",
"total_threat_recipients",
"detected_amp"
]
}
}
}
Ping
Descripción
Prueba la conectividad con el servidor de IronPort con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.