IronPort
Versione integrazione: 12.0
Autorizzazione del prodotto
L'API AsyncOS è un sistema basato sui ruoli. L'ambito delle query API è definito dal ruolo dell'utente. Gli utenti dell'appliance Cisco Content Security Management con i seguenti ruoli possono accedere all'API AsyncOS:
- Amministratore
- Operatore
- Tecnico
- Operatore di sola lettura
- Ospite
- Amministratore web
- Amministratore criteri web
- Amministratore del filtro degli URL
- Amministratore email
- Utente Help Desk
Configura l'integrazione di IronPort in Google SecOps
Configurare l'integrazione di IronPort con un certificato CA
Se necessario, puoi verificare la connessione con un file del certificato CA.
Prima di iniziare, assicurati di avere quanto segue:
- Il file del certificato CA
- L'ultima versione dell'integrazione IronPort
Per configurare l'integrazione con un certificato CA, completa i seguenti passaggi:
- Analizza il file del certificato CA in una stringa Base64.
- Apri la pagina dei parametri di configurazione dell'integrazione.
- Inserisci la stringa nel campo File certificato CA.
- Per verificare che l'integrazione sia configurata correttamente, seleziona la casella di controllo Verifica SSL e fai clic su Test.
Configura l'integrazione di IronPort in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Indirizzo del server IronPort | Stringa | x.x.x.x | Sì | Indirizzo del server IronPort a cui connettersi. |
| Porta API IronPort AsyncOS | Stringa | 6443 | Vero | Porta dell'API IronPort AsyncOS a cui connettersi. |
| Porta SSH Ironport | Stringa | 22 | Sì | Porta SSH IronPort a cui connettersi. |
| Nome utente | Stringa | N/D | Sì | Account IronPort da utilizzare con l'integrazione. |
| Passphrase (password) | Password | N/D | Sì | Password dell'account. |
| File del certificato CA analizzato in una stringa Base64 | Stringa | N/D | No | N/D |
| Use SSL (Usa SSL) | Casella di controllo | Selezionata | No | Specifica se HTTPS deve essere utilizzato per connettersi all'API AsyncOS. |
| Verifica SSL | Casella di controllo | Deselezionata | No | Specifica se la convalida del certificato deve essere abilitata (verificherà se il certificato configurato per l'API AsyncOS è valido). |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Aggiungere il mittente alla lista bloccata
Descrizione
Aggiungere un mittente a una lista bloccata.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Mittenti | Stringa | N/D | Sì | L'indirizzo del mittente da aggiungere alla lista bloccata. L'azione accetta più indirizzi come elenco separato da virgole. |
| Elenco filtri | Stringa | N/D | Sì | Il nome della lista bloccati. |
Esempi di casi d'uso del playbook
Aggiungi un mittente email indesiderato alla blacklist di IronPort in base all'analisi in Google SecOps.
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Recupera tutti i destinatari per mittente
Descrizione
Visualizza un elenco dei destinatari che hanno ricevuto email da un determinato mittente.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Mittente | Stringa | N/D | Sì | L'indirizzo email del mittente in base al quale filtrare. |
| Cercare email per ultimo X | Numero intero | 7 | Sì | Specifica un periodo di tempo in cui cercare le email. Tieni presente che questo valore deve essere impostato in base alla quantità di email elaborate da IronPort. Se viene fornito un valore sufficientemente grande, l'azione può scadere. |
| Imposta il periodo di ricerca delle email in | DDL | Giorni | Sì | Specifica se le email di ricerca devono essere eseguite con il periodo di giorni o ore. |
| Numero massimo di destinatari da restituire | Numero intero | 20 | Sì | Specifica il numero di destinatari che l'azione deve restituire. |
| Dimensioni pagina | Numero intero | 100 | Sì | Specifica le dimensioni della pagina da utilizzare per l'azione durante la ricerca delle email. |
Esempi di casi d'uso del playbook
Cerca i destinatari email in base all'email del mittente fornita nell'azione.
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| risultati | N/D | N/D |
Risultato JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A",
"subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
}
}
Recuperare tutti i destinatari per oggetto
Descrizione
Visualizza un elenco dei destinatari che hanno ricevuto un'email con lo stesso oggetto.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Oggetto | Stringa | N/D | Sì | L'oggetto in base al quale filtrare. |
| Cercare email per ultimo X | Numero intero | 7 | Sì | Specifica un periodo di tempo in cui cercare le email. Tieni presente che questo valore deve essere impostato in base alla quantità di email elaborate da IronPort. Se viene fornito un valore sufficientemente grande, l'azione può scadere. |
| Imposta il periodo di ricerca delle email in | DDL | Giorni | Sì | Specifica se le email di ricerca devono essere eseguite con il periodo di giorni o ore. |
| Numero massimo di destinatari da restituire | Numero intero | 20 | Sì | Specifica il numero di destinatari che l'azione deve restituire. |
| Dimensioni pagina | Numero intero | 100 | Sì | Specifica le dimensioni della pagina da utilizzare per l'azione durante la ricerca delle email. |
Esempi di casi d'uso del playbook
Cerca informazioni sulle email in IronPort quando le email contengono Unicode nell'oggetto.
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| destinatari | N/D | N/D |
Risultato JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A"
}
Scarica report
Descrizione
Recupera informazioni specifiche sui report IronPort.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
Tipo di report |
Elenco a discesa | Valore predefinito: Nessuno | Sì | Il tipo di report da recuperare. Nota:i report mail_sender_ip_hostname_detail e mail_incoming_ip_hostname_detail funzionano in base alle entità IP o host di Google SecOps; mail_users_detail funziona in base all'entità utente di Google SecOps (con indirizzo email). Altri report funzionano senza entità Google SecOps. |
| Dati dei report sulla rete di ricerca per gli ultimi X giorni | Numero intero | 7 | Sì | Specifica un periodo di tempo in giorni per la ricerca dei dati dei report. Per impostazione predefinita, è impostato sugli ultimi 7 giorni. |
| Numero massimo di record da restituire | Numero intero | 20 | Sì | Specifica quanti record deve restituire l'azione. |
Esempi di casi d'uso del playbook
Ricevi informazioni sui report dal server IronPort per l'analisi dell'avviso in Google SecOps.
Run On
- IP o HOST - mail_sender_ip_hostname_detail e mail_incoming_ip_hostname_detail
- UTENTE - mail_users_detail report
- NONE: gli altri tipi di report funzionano senza entità Google SecOps.
Risultati dell'azione
Arricchimento delle entità
L'arricchimento delle entità deve funzionare come nell'azione esistente: se il report ha restituito dati per un'entità Google SecOps specifica, utilizza i dati restituiti per l'arricchimento.
Visualizza il codice di azione esistente come riferimento.
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
{
"meta": {
"totalCount": -1
},
"data": {
"type": "mail_sender_ip_hostname_detail",
"resultSet": {
"time_intervals": [
{
"end_timestamp": 1590969599.0,
"counter_values": [
{
"counter_values": [
0,
0,
0,
0,
8,
8,
0,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1588291200.0,
"end_time": "2020-05-31T23:59:00.000Z",
"begin_time": "2020-05-01T00:00:00.000Z"
},
{
"end_timestamp": 1593561599.0,
"counter_values": [
{
"counter_values": [
0,
0,
6,
0,
5,
11,
6,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1590969600.0,
"end_time": "2020-06-30T23:59:00.000Z",
"begin_time": "2020-06-01T00:00:00.000Z"
}
],
"counter_names": [
"detected_virus",
"detected_spam",
"threat_content_filter",
"total_dlp_incidents",
"total_clean_recipients",
"total_recipients_processed",
"total_threat_recipients",
"detected_amp"
]
}
}
}
Dindin
Descrizione
Verifica la connettività al server IronPort con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.