IronPort
통합 버전: 12.0
제품 권한
AsyncOS API는 역할 기반 시스템입니다. API 쿼리의 범위는 사용자의 역할에 따라 정의됩니다. 다음 역할이 있는 Cisco Content Security Management 어플라이언스 사용자는 AsyncOS API에 액세스할 수 있습니다.
- 관리자
- 연산자
- 기술자
- 읽기 전용 운영자
- 참석자
- 웹 관리자
- 웹 정책 관리자
- URL 필터링 관리자
- 이메일 관리자
- 헬프 데스크 사용자
Google SecOps에서 IronPort 통합 구성
CA 인증서로 IronPort 통합 구성
필요한 경우 CA 인증서 파일로 연결을 확인할 수 있습니다.
시작하기 전에 다음 사항을 확인하세요.
- CA 인증서 파일
- 최신 IronPort 통합 버전
CA 인증서와의 통합을 구성하려면 다음 단계를 완료하세요.
- CA 인증서 파일을 Base64 문자열로 파싱합니다.
- 통합 구성 매개변수 페이지를 엽니다.
- CA 인증서 파일 필드에 문자열을 삽입합니다.
- 통합이 성공적으로 구성되었는지 테스트하려면 SSL 확인 체크박스를 선택하고 테스트를 클릭합니다.
Google SecOps에서 IronPort 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| IronPort 서버 주소 | 문자열 | x.x.x.x | 예 | 연결할 IronPort 서버 주소입니다. |
| IronPort AsyncOS API 포트 | 문자열 | 6443 | 참 | 연결할 IronPort AsyncOS API 포트입니다. |
| Ironport SSH 포트 | 문자열 | 22 | 예 | 연결할 IronPort SSH 포트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | 통합에 사용할 IronPort 계정입니다. |
| 암호 | 비밀번호 | 해당 사항 없음 | 예 | 계정의 비밀번호입니다. |
| CA 인증서 파일 - Base64 문자열로 파싱됨 | 문자열 | 해당 사항 없음 | 아니요 | 해당 사항 없음 |
| Use SSL | 체크박스 | 선택 | 아니요 | AsyncOS API에 연결할 때 HTTPS를 사용해야 하는지 지정합니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 아니요 | 인증서 유효성 검사를 사용 설정할지 지정합니다 (AsyncOS API에 대해 구성된 인증서가 유효한지 확인). |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
차단 목록에 발신자 추가
설명
차단 목록에 발신자를 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 발신자 | 문자열 | 해당 사항 없음 | 예 | 차단 목록에 추가할 발신자 주소입니다. 이 작업은 쉼표로 구분된 목록으로 여러 주소를 허용합니다. |
| 필터 목록 | 문자열 | 해당 사항 없음 | 예 | 차단 목록의 이름입니다. |
플레이북 사용 사례 예시
Google SecOps의 분석을 기반으로 원치 않는 이메일 발신자를 IronPort 블랙리스트에 추가합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
발신자별 모든 수신자 가져오기
설명
특정 발신자로부터 이메일을 수신한 수신자 목록을 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 발신자 | 문자열 | 해당 사항 없음 | 예 | 필터링할 발신자 이메일 주소입니다. |
| 최근 X개의 이메일 검색 | 정수 | 7 | 예 | 이메일을 검색할 기간을 지정합니다. 이 값은 IronPort에서 처리한 이메일 수에 따라 설정해야 합니다. 값이 너무 크면 작업이 시간 초과될 수 있습니다. |
| 다음에서 이메일 검색 기간 설정 | DDL | 일 | 예 | 일 또는 시간 단위로 이메일을 검색할지 지정합니다. |
| 반환할 최대 수신자 수 | 정수 | 20 | 예 | 작업에서 반환해야 하는 수신자 수를 지정합니다. |
| 페이지 크기 | 정수 | 100 | 예 | 이메일을 검색할 때 사용할 작업의 페이지 크기를 지정합니다. |
플레이북 사용 사례 예시
작업에 제공된 발신자의 이메일을 기반으로 이메일 수신자를 검색합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| 결과 | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A",
"subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
}
}
제목별 모든 수신자 가져오기
설명
동일한 제목의 이메일을 수신한 수신자 목록을 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| Subject | 문자열 | 해당 사항 없음 | 예 | 필터링할 주제입니다. |
| 최근 X개의 이메일 검색 | 정수 | 7 | 예 | 이메일을 검색할 기간을 지정합니다. 이 값은 IronPort에서 처리한 이메일 양에 따라 설정해야 합니다. 값이 너무 크면 작업이 시간 초과될 수 있습니다. |
| 다음에서 이메일 검색 기간 설정 | DDL | 일 | 예 | 일 또는 시간 단위로 이메일을 검색할지 지정합니다. |
| 반환할 최대 수신자 수 | 정수 | 20 | 예 | 작업에서 반환해야 하는 수신자 수를 지정합니다. |
| 페이지 크기 | 정수 | 100 | 예 | 이메일을 검색할 때 사용할 작업의 페이지 크기를 지정합니다. |
플레이북 사용 사례 예시
이메일 제목에 유니코드가 있는 경우 IronPort에서 이메일 정보를 검색합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| 수신자 | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A"
}
보고서 받기
설명
특정 IronPort 보고서 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
보고서 유형 |
드롭다운 목록 | 기본값: None | 예 | 가져올 보고서의 유형입니다. 참고: mail_sender_ip_hostname_detail 및 mail_incoming_ip_hostname_detail 보고서는 Google SecOps IP 또는 호스트 엔티티를 기반으로 작동하며, mail_users_detail은 Google SecOps 사용자 엔티티 (이메일 주소 포함)를 기반으로 작동합니다. 다른 보고서는 Google SecOps 엔티티 없이 작동합니다. |
| 지난 X일의 검색 보고서 데이터 | 정수 | 7 | 예 | 보고서 데이터를 검색할 기간을 일수로 지정합니다. 기본적으로 지난 7일로 설정됩니다. |
| 반환할 최대 레코드 수 | 정수 | 20 | 예 | 작업이 반환해야 하는 레코드 수를 지정합니다. |
플레이북 사용 사례 예시
Google SecOps에서 알림을 분석하기 위해 IronPort 서버에서 보고 정보를 가져옵니다.
실행
- IP 또는 호스트 - mail_sender_ip_hostname_detail 및 mail_incoming_ip_hostname_detail 보고서
- 사용자 - mail_users_detail 보고서
- 없음 - 다른 보고서 유형은 Google SecOps 엔티티 없이 작동합니다.
작업 결과
항목 보강
항목 보강은 기존 작업과 동일하게 작동해야 합니다. 보고서에서 특정 Google SecOps 항목의 데이터를 반환한 경우 반환된 데이터를 보강에 사용합니다.
참고용으로 기존 작업 코드를 확인하세요.
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| 성공 | True/False | success:False |
JSON 결과
{
"meta": {
"totalCount": -1
},
"data": {
"type": "mail_sender_ip_hostname_detail",
"resultSet": {
"time_intervals": [
{
"end_timestamp": 1590969599.0,
"counter_values": [
{
"counter_values": [
0,
0,
0,
0,
8,
8,
0,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1588291200.0,
"end_time": "2020-05-31T23:59:00.000Z",
"begin_time": "2020-05-01T00:00:00.000Z"
},
{
"end_timestamp": 1593561599.0,
"counter_values": [
{
"counter_values": [
0,
0,
6,
0,
5,
11,
6,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1590969600.0,
"end_time": "2020-06-30T23:59:00.000Z",
"begin_time": "2020-06-01T00:00:00.000Z"
}
],
"counter_names": [
"detected_virus",
"detected_spam",
"threat_content_filter",
"total_dlp_incidents",
"total_clean_recipients",
"total_recipients_processed",
"total_threat_recipients",
"detected_amp"
]
}
}
}
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 IronPort 서버에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.