IronPort

統合バージョン: 12.0

プロダクトの権限

AsyncOS API はロールベースのシステムです。API クエリのスコープは、ユーザーのロールによって定義されます。次のロールを持つ Cisco Content Security Management アプライアンス ユーザーは、AsyncOS API にアクセスできます。

  • 管理者
  • 演算子
  • 技術者
  • 読み取り専用オペレーター
  • ゲスト
  • ウェブ管理者
  • Web ポリシー管理者
  • URL フィルタリング管理者
  • メール管理者
  • ヘルプデスク ユーザー

Google SecOps で IronPort の統合を構成する

CA 証明書を使用して IronPort 統合を構成する

必要に応じて、CA 証明書ファイルを使用して接続を確認できます。

始める前に、次のものが揃っていることを確認してください。

  • CA 証明書ファイル
  • 最新の IronPort 統合バージョン

CA 証明書を使用して統合を構成するには、次の操作を行います。

  1. CA 証明書ファイルを Base64 文字列に解析します。
  2. インテグレーション構成パラメータのページを開きます。
  3. 文字列を [CA 証明書ファイル] フィールドに挿入します。
  4. 統合が正常に構成されていることをテストするには、[SSL を検証] チェックボックスをオンにして、[テスト] をクリックします。

Google SecOps で IronPort の統合を構成する

Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。

統合のパラメータ

次のパラメータを使用して統合を構成します。

パラメータの表示名 種類 デフォルト値 必須 説明
インスタンス名 文字列 なし いいえ 統合を構成するインスタンスの名前。
説明 文字列 なし いいえ インスタンスの説明。
IronPort サーバー アドレス 文字列 x.x.x.x はい 接続先の IronPort サーバー アドレス。
IronPort AsyncOS API ポート 文字列 6443 正しい 接続先の IronPort AsyncOS API ポート。
Ironport SSH ポート 文字列 22 はい 接続する IronPort SSH ポート。
ユーザー名 文字列 なし はい 統合で使用する IronPort アカウント。
パスフレーズ(パスワード) パスワード なし はい アカウントのパスワード。
CA 証明書ファイル - Base64 文字列に解析 文字列 なし いいえ なし
Use SSL チェックボックス オン いいえ AsyncOS API への接続に HTTPS を使用するかどうかを指定します。
SSL を確認する チェックボックス オフ いいえ 証明書の検証を有効にするかどうかを指定します(AsyncOS API 用に構成された証明書が有効かどうかを確認します)。
リモートで実行 チェックボックス オフ いいえ 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。

操作

ブロックリストに送信者を追加する

説明

送信者をブロックリストに追加する。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明
差出人 文字列 なし はい ブロックリストに追加する送信者のアドレス。このアクションは、カンマ区切りのリストとして複数のアドレスを受け入れます。
フィルタリスト 文字列 なし はい ブロックリストの名前。

プレイブックのユースケースの例

Google SecOps の分析に基づいて、不要なメールの送信者を IronPort ブラックリストに追加します。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

エンティティ拡充

なし

分析情報

なし

スクリプトの結果
スクリプトの結果名 値のオプション
is_success True/False is_success:False
JSON の結果
N/A

送信者別のすべての受信者を取得する

説明

特定の送信者からメールを受信した受信者のリストを取得します。

パラメータ

パラメータの表示名 タイプ デフォルト値 必須 説明
送信者 文字列 なし はい フィルタする送信者のメールアドレス。
過去 X 件のメールを検索する Integer 7 はい メールを検索する期間を指定します。この値は、IronPort で処理されるメールの量に応じて設定する必要があります。値が大きすぎると、アクションがタイムアウトする可能性があります。
[Set Search Email Period in](検索メール期間を設定) DDL はい 検索メールを日単位または時間単位で行うかどうかを指定します。
返される受信者の最大数 Integer 20 はい アクションが返す受信者の数を指定します。
ページサイズ Integer 100 はい メールを検索するときにアクションで使用するページサイズを指定します。

プレイブックのユースケースの例

アクションで指定された送信者のメールアドレスに基づいて、メールの受信者を検索します。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

エンティティ拡充

なし

分析情報

なし

スクリプトの結果
スクリプトの結果名 値のオプション
結果 なし なし
JSON の結果
{
    "attributes": {
        "direction": "",
        "hostName": "",
        "senderGroup": "N/A",
        "sender": "reporting@smtp.inside-ironport.local",
        "replyTo": "N/A",
        "timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
        "serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
        "mid": [
            229
        ],
        "senderIp": "N/A",
        "icid": 0,
        "messageStatus": {
            "229": "Delivered"
        },
        "mailPolicy": [],
        "isCompleteData": "N/A",
        "verdictChart": {
            "229": "00000000"
        },
        "senderDomain": "N/A",
        "recipient": [
            "test.user1@inside-ironport.local"
        ],
        "sbrs": "N/A",
        "subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
    }
}

件名で受信者をすべて取得する

説明

同じ件名のメールを受信した受信者のリストを取得します。

パラメータ

パラメータの表示名 タイプ デフォルト値 必須 説明
件名 文字列 なし はい フィルタするサブジェクト。
過去 X 件のメールを検索する Integer 7 はい

メールを検索する期間を指定します。この値は、IronPort で処理されるメールの量に応じて設定する必要があります。値が大きすぎると、アクションがタイムアウトする可能性があります。
[Set Search Email Period in](検索メール期間を設定) DDL はい メールの検索を日数または時間単位で行うかどうかを指定します。
返される受信者の最大数 Integer 20 はい アクションが返す受信者の数を指定します。
ページサイズ Integer 100 はい メールを検索するときにアクションで使用するページサイズを指定します。

プレイブックのユースケースの例

メールの件名に Unicode が含まれている場合に、IronPort でメール情報を検索します。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

エンティティ拡充

なし

分析情報

なし

スクリプトの結果
スクリプトの結果名 値のオプション
受信者 なし なし
JSON の結果
{
    "attributes": {
        "direction": "",
        "hostName": "",
        "senderGroup": "N/A",
        "sender": "reporting@smtp.inside-ironport.local",
        "replyTo": "N/A",
        "timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
        "serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
        "mid": [
            229
        ],
        "senderIp": "N/A",
        "icid": 0,
        "messageStatus": {
            "229": "Delivered"
        },
        "mailPolicy": [],
        "isCompleteData": "N/A",
        "verdictChart": {
            "229": "00000000"
        },
        "senderDomain": "N/A",
        "recipient": [
            "test.user1@inside-ironport.local"
        ],
        "sbrs": "N/A"
}

レポートの取得

説明

特定の IronPort レポート情報を取得します。

パラメータ

パラメータの表示名 種類 デフォルト値 必須 説明

レポートタイプ

 プルダウン リスト デフォルト値: なし はい

取得するレポートのタイプ。

注: mail_sender_ip_hostname_detail レポートと mail_incoming_ip_hostname_detail レポートは Google SecOps IP エンティティまたはホスト エンティティに基づいて動作します。mail_users_detail は Google SecOps ユーザー エンティティ(メールアドレス付き)に基づいて動作します。他のレポートは Google SecOps エンティティなしで動作しています。
過去 X 日間の検索レポートのデータ Integer 7 はい レポートデータを検索する期間を日数で指定します。デフォルトでは過去 7 日間に設定されています。
返されるレコードの最大数 Integer 20 はい アクションが返すレコード数を指定します。

プレイブックのユースケースの例

Google SecOps でアラートを分析するために、IronPort サーバーからレポート情報を取得します。

実行

  1. IP または HOST - mail_sender_ip_hostname_detail レポートと mail_incoming_ip_hostname_detail レポート
  2. USER - mail_users_detail レポート
  3. NONE - 他のレポートタイプは Google SecOps エンティティなしで機能しています。

アクションの結果

エンティティ拡充

エンティティの拡充は既存のアクションと同様に機能します。レポートが特定の Google SecOps エンティティのデータを返した場合は、返されたデータを拡充に使用します。

既存のアクション コードを参照してください。

分析情報

なし

スクリプトの結果
スクリプトの結果名 値のオプション
success True/False success:False
JSON の結果
{
    "meta": {
        "totalCount": -1
    },
    "data": {
        "type": "mail_sender_ip_hostname_detail",
        "resultSet": {
            "time_intervals": [
                {
                    "end_timestamp": 1590969599.0,
                    "counter_values": [
                        {
                            "counter_values": [
                                0,
                                0,
                                0,
                                0,
                                8,
                                8,
                                0,
                                0
                            ],
                            "ip_domain": "172.30.203.100",
                            "key": "irp-d1-dc01.inside-ironport.local"
                        }
                    ],
                    "begin_timestamp": 1588291200.0,
                    "end_time": "2020-05-31T23:59:00.000Z",
                    "begin_time": "2020-05-01T00:00:00.000Z"
                },
                {
                    "end_timestamp": 1593561599.0,
                    "counter_values": [
                        {
                            "counter_values": [
                                0,
                                0,
                                6,
                                0,
                                5,
                                11,
                                6,
                                0
                            ],
                            "ip_domain": "172.30.203.100",
                            "key": "irp-d1-dc01.inside-ironport.local"
                        }
                    ],
                    "begin_timestamp": 1590969600.0,
                    "end_time": "2020-06-30T23:59:00.000Z",
                    "begin_time": "2020-06-01T00:00:00.000Z"
                }
            ],
            "counter_names": [
                "detected_virus",
                "detected_spam",
                "threat_content_filter",
                "total_dlp_incidents",
                "total_clean_recipients",
                "total_recipients_processed",
                "total_threat_recipients",
                "detected_amp"
            ]
        }
    }
}

Ping

説明

[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、IronPort サーバーへの接続性をテストします。

パラメータ

なし

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

エンティティ拡充

なし

分析情報

なし

スクリプトの結果
スクリプトの結果名 値のオプション
is_success True/False is_success:False
JSON の結果
N/A

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。