IronPort
Versi integrasi: 12.0
Izin Produk
AsyncOS API adalah sistem berbasis peran. Cakupan kueri API ditentukan oleh peran pengguna. Pengguna perangkat Cisco Content Security Management dengan peran berikut dapat mengakses AsyncOS API:
- Administrator
- Operator
- Teknisi
- Operator Hanya Baca
- Tamu
- Administrator Web
- Administrator Kebijakan Web
- Administrator Pemfilteran URL
- Email Administrator
- Pengguna Pusat Bantuan
Mengonfigurasi integrasi IronPort di Google SecOps
Mengonfigurasi integrasi IronPort dengan sertifikat CA
Anda dapat memverifikasi koneksi dengan file sertifikat CA jika diperlukan.
Sebelum memulai, pastikan Anda memiliki hal berikut:
- File sertifikat CA
- Versi integrasi IronPort terbaru
Untuk mengonfigurasi integrasi dengan sertifikat CA, selesaikan langkah-langkah berikut:
- Parse file sertifikat CA Anda ke dalam String Base64.
- Buka halaman parameter konfigurasi integrasi.
- Masukkan string di kolom CA Certificate File.
- Untuk menguji bahwa integrasi berhasil dikonfigurasi, centang kotak Verifikasi SSL, lalu klik Uji.
Mengonfigurasi integrasi IronPort di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Alamat Server IronPort | String | x.x.x.x | Ya | Alamat Server IronPort yang akan dihubungkan. |
| Port IronPort AsyncOS API | String | 6443 | Benar | Port IronPort AsyncOS API untuk terhubung. |
| Port SSH Ironport | String | 22 | Ya | Port SSH IronPort untuk terhubung. |
| Nama pengguna | String | T/A | Ya | Akun IronPort yang akan digunakan dengan integrasi. |
| Frasa sandi (password) | Sandi | T/A | Ya | Sandi untuk akun. |
| File Sertifikat CA - diuraikan menjadi String Base64 | String | T/A | Tidak | T/A |
| Use SSL | Kotak centang | Dicentang | Tidak | Tentukan apakah HTTPS harus digunakan untuk terhubung ke AsyncOS API. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Tidak | Tentukan apakah validasi sertifikat harus diaktifkan (akan memeriksa apakah sertifikat yang dikonfigurasi untuk AsyncOS API valid). |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Menambahkan Pengirim ke Daftar yang Diblokir
Deskripsi
Menambahkan pengirim ke daftar blokir.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Pengirim | String | T/A | Ya | Alamat pengirim yang akan ditambahkan ke daftar blokir. Tindakan ini menerima beberapa alamat sebagai daftar yang dipisahkan koma. |
| Daftar Filter | String | T/A | Ya | Nama daftar blokir. |
Contoh Kasus Penggunaan Playbook
Menambahkan pengirim email yang tidak diinginkan ke daftar hitam IronPort berdasarkan analisis di Google SecOps.
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Mendapatkan semua Penerima menurut Pengirim
Deskripsi
Mendapatkan daftar penerima yang menerima email dari pengirim tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Pengirim | String | T/A | Ya | Alamat email pengirim yang akan difilter. |
| Menelusuri Email untuk X Terakhir | Bilangan bulat | 7 | Ya | Tentukan jangka waktu untuk menelusuri email. Perhatikan bahwa nilai ini harus ditetapkan sesuai dengan jumlah email yang diproses oleh IronPort. Jika nilai yang diberikan cukup besar, tindakan dapat mengalami waktu tunggu habis. |
| Menetapkan Periode Email Penelusuran di | DDL | Hari | Ya | Tentukan apakah email penelusuran harus dilakukan dengan jangka waktu hari atau jam. |
| Jumlah Penerima Maksimum yang Akan Ditampilkan | Bilangan bulat | 20 | Ya | Tentukan berapa banyak penerima yang harus ditampilkan oleh tindakan. |
| Ukuran Halaman | Bilangan bulat | 100 | Ya | Tentukan ukuran halaman yang akan digunakan tindakan saat menelusuri email. |
Contoh Kasus Penggunaan Playbook
Menelusuri penerima email berdasarkan email pengirim yang diberikan dalam tindakan.
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| hasil | T/A | T/A |
Hasil JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A",
"subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
}
}
Mendapatkan semua Penerima menurut Subjek
Deskripsi
Mendapatkan daftar penerima yang menerima email dengan subjek yang sama.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Subjek | String | T/A | Ya | Subjek yang akan difilter. |
| Menelusuri Email untuk X Terakhir | Bilangan bulat | 7 | Ya | Tentukan jangka waktu untuk menelusuri email. Perhatikan bahwa nilai ini harus ditetapkan sesuai dengan jumlah email yang diproses oleh IronPort. Jika nilai yang diberikan cukup besar, tindakan dapat mengalami waktu tunggu habis. |
| Menetapkan Periode Email Penelusuran di | DDL | Hari | Ya | Tentukan apakah penelusuran email harus dilakukan dengan jangka waktu hari atau jam. |
| Jumlah Penerima Maksimum yang Akan Ditampilkan | Bilangan bulat | 20 | Ya | Tentukan berapa banyak penerima yang harus ditampilkan oleh tindakan. |
| Ukuran Halaman | Bilangan bulat | 100 | Ya | Tentukan ukuran halaman yang akan digunakan tindakan saat menelusuri email. |
Contoh Kasus Penggunaan Playbook
Menelusuri informasi email di IronPort saat email memiliki Unicode di subjek.
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| penerima | T/A | T/A |
Hasil JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A"
}
Dapatkan Laporannya
Deskripsi
Mengambil informasi laporan IronPort tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
Jenis Laporan |
Menu Drop-Down | Nilai Default: None | Ya | Jenis laporan yang akan diambil. Catatan: Laporan mail_sender_ip_hostname_detail dan mail_incoming_ip_hostname_detail berfungsi berdasarkan entitas IP atau Host Google SecOps; mail_users_detail berfungsi berdasarkan entitas Pengguna Google SecOps (dengan alamat email). Laporan lainnya berfungsi tanpa entitas Google SecOps. |
| Data Laporan Penelusuran untuk X Hari Terakhir | Bilangan bulat | 7 | Ya | Tentukan jangka waktu dalam hari untuk mencari data laporan. Secara default disetel ke 7 hari terakhir. |
| Jumlah Maksimum Data yang Akan Ditampilkan | Bilangan bulat | 20 | Ya | Tentukan berapa banyak kumpulan data yang harus ditampilkan oleh tindakan. |
Contoh Kasus Penggunaan Playbook
Dapatkan informasi pelaporan dari server IronPort untuk analisis pemberitahuan di Google SecOps.
Run On
- IP atau HOST - laporan mail_sender_ip_hostname_detail dan mail_incoming_ip_hostname_detail
- PENGGUNA - laporan mail_users_detail
- NONE - jenis laporan lainnya berfungsi tanpa entitas Google SecOps.
Hasil Tindakan
Pengayaan Entity
Pengayaan entitas harus berfungsi seperti pada tindakan yang ada - jika laporan menampilkan data untuk entitas Google SecOps tertentu, gunakan data yang ditampilkan untuk pengayaan.
Lihat kode tindakan yang ada sebagai referensi.
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
{
"meta": {
"totalCount": -1
},
"data": {
"type": "mail_sender_ip_hostname_detail",
"resultSet": {
"time_intervals": [
{
"end_timestamp": 1590969599.0,
"counter_values": [
{
"counter_values": [
0,
0,
0,
0,
8,
8,
0,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1588291200.0,
"end_time": "2020-05-31T23:59:00.000Z",
"begin_time": "2020-05-01T00:00:00.000Z"
},
{
"end_timestamp": 1593561599.0,
"counter_values": [
{
"counter_values": [
0,
0,
6,
0,
5,
11,
6,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1590969600.0,
"end_time": "2020-06-30T23:59:00.000Z",
"begin_time": "2020-06-01T00:00:00.000Z"
}
],
"counter_names": [
"detected_virus",
"detected_spam",
"threat_content_filter",
"total_dlp_incidents",
"total_clean_recipients",
"total_recipients_processed",
"total_threat_recipients",
"detected_amp"
]
}
}
}
Ping
Deskripsi
Uji konektivitas ke server IronPort dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Parameter
T/A
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.