IronPort
Versão da integração: 12.0
Permissão de produto
A API AsyncOS é um sistema baseado em papéis. O escopo das consultas de API é definido pela função do usuário. Os usuários do appliance Cisco Content Security Management com as seguintes funções podem acessar a API AsyncOS:
- Administrador
- Operador
- Técnico
- Operador somente leitura
- Convidado
- Administrador da Web
- Administrador da política da Web
- Administrador da filtragem de URL
- Administrador de e-mail
- Usuário da central de informações
Configurar a integração do IronPort no Google SecOps
Configurar a integração do IronPort com um certificado de CA
Se necessário, verifique sua conexão com um arquivo de certificado de CA.
Antes de começar, verifique se você tem o seguinte:
- O arquivo de certificado de CA
- A versão mais recente da integração do IronPort
Para configurar a integração com um certificado da CA, siga estas etapas:
- Analise o arquivo de certificado da CA em uma string Base64.
- Abra a página de parâmetros de configuração da integração.
- Insira a string no campo Arquivo de certificado da CA.
- Para testar se a integração foi configurada corretamente, marque a caixa de seleção Verificar SSL e clique em Testar.
Configurar a integração do IronPort no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Endereço do servidor IronPort | String | x.x.x.x | Sim | Endereço do servidor IronPort a que se conectar. |
| Porta da API AsyncOS do IronPort | String | 6443 | Verdadeiro | Porta da API AsyncOS do IronPort para conexão. |
| Porta SSH do Ironport | String | 22 | Sim | Porta SSH do IronPort para conexão. |
| Nome de usuário | String | N/A | Sim | Conta do IronPort para usar com a integração. |
| Senha longa (senha) | Senha | N/A | Sim | Senha da conta. |
| Arquivo de certificado da CA: analisado em uma string Base64 | String | N/A | Não | N/A |
| Usar SSL | Caixa de seleção | Selecionado | Não | Especifique se o HTTPS deve ser usado para se conectar à API AsyncOS. |
| Verificar SSL | Caixa de seleção | Desmarcado | Não | Especifique se a validação do certificado deve ser ativada. Isso verifica se o certificado configurado para a API AsyncOS é válido. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Adicionar remetente à lista de bloqueio
Descrição
Adicionar um remetente a uma lista de bloqueio.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Remetentes | String | N/A | Sim | O endereço do remetente a ser adicionado à lista de bloqueio. A ação aceita vários endereços como uma lista separada por vírgulas. |
| Lista de filtros | String | N/A | Sim | O nome da lista de bloqueio. |
Exemplos de casos de uso de playbook
Adicione um remetente de e-mail indesejado à lista negra do IronPort com base na análise do Google SecOps.
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Receber todos os destinatários por remetente
Descrição
Receba uma lista de destinatários que receberam e-mails de um determinado remetente.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Remetente | String | N/A | Sim | O endereço de e-mail do remetente para filtrar. |
| Pesquisar e-mails dos últimos X | Número inteiro | 7 | Sim | Especifique um período para pesquisar e-mails. Esse valor precisa ser definido de acordo com a quantidade de e-mails processados pelo IronPort. Se um valor muito grande for fornecido, a ação poderá atingir o tempo limite. |
| Definir o período de e-mail de pesquisa em | DDL | Dias | Sim | Especifique se os e-mails de pesquisa devem ser feitos com o período de dias ou horas. |
| Número máximo de destinatários a serem retornados | Número inteiro | 20 | Sim | Especifique quantos destinatários a ação deve retornar. |
| Tamanho da página | Número inteiro | 100 | Sim | Especifique o tamanho da página que a ação vai usar ao pesquisar e-mails. |
Exemplos de casos de uso de playbook
Pesquise destinatários de e-mail com base no e-mail do remetente fornecido na ação.
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| resultados | N/A | N/A |
Resultado do JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A",
"subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
}
}
Receber todos os destinatários por assunto
Descrição
Receba uma lista de destinatários que receberam um e-mail com o mesmo assunto.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Assunto | String | N/A | Sim | O assunto a ser filtrado. |
| Pesquisar e-mails dos últimos X | Número inteiro | 7 | Sim | Especifique um período para pesquisar e-mails. Observe que esse valor deve ser definido de acordo com a quantidade de e-mails processados pelo IronPort. Se um valor grande o suficiente for fornecido, a ação poderá atingir o tempo limite. |
| Definir o período de e-mail de pesquisa em | DDL | Dias | Sim | Especifique se as pesquisas de e-mails devem ser feitas com o período de dias ou horas. |
| Número máximo de destinatários a serem retornados | Número inteiro | 20 | Sim | Especifique quantos destinatários a ação deve retornar. |
| Tamanho da página | Número inteiro | 100 | Sim | Especifique o tamanho da página que a ação vai usar ao pesquisar e-mails. |
Exemplos de casos de uso de playbook
Pesquisar informações de e-mail no IronPort quando os e-mails têm Unicode no assunto.
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| destinatários | N/A | N/A |
Resultado do JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A"
}
Acessar relatório
Descrição
Extrai informações específicas do relatório do IronPort.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
Tipo de relatório |
Lista suspensa | Valor padrão: nenhum | Sim | O tipo de relatório a ser buscado. Observação:os relatórios mail_sender_ip_hostname_detail e mail_incoming_ip_hostname_detail funcionam com base nas entidades de IP ou host do Google SecOps. Já o relatório mail_users_detail funciona com base na entidade de usuário do Google SecOps (com endereço de e-mail). Outros relatórios funcionam sem entidades do Google SecOps. |
| Dados dos relatórios de pesquisa dos últimos X dias | Número inteiro | 7 | Sim | Especifique um período em dias para pesquisar dados de relatórios. Por padrão, ele é definido como os últimos 7 dias. |
| Número máximo de registros a serem retornados | Número inteiro | 20 | Sim | Especifique quantos registros a ação deve retornar. |
Exemplos de casos de uso de playbook
Receba informações de relatórios do servidor IronPort para análise de alertas no Google SecOps.
Executar em
- IP ou HOST: relatórios mail_sender_ip_hostname_detail e mail_incoming_ip_hostname_detail
- USER - mail_users_detail report
- NENHUM: outros tipos de relatórios estão funcionando sem entidades do Google SecOps.
Resultados da ação
Enriquecimento de entidades
O enriquecimento de entidade deve funcionar como na ação atual. Se o relatório retornar dados de uma entidade específica do Google SecOps, use esses dados para o enriquecimento.
Consulte o código de ação atual para referência.
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
{
"meta": {
"totalCount": -1
},
"data": {
"type": "mail_sender_ip_hostname_detail",
"resultSet": {
"time_intervals": [
{
"end_timestamp": 1590969599.0,
"counter_values": [
{
"counter_values": [
0,
0,
0,
0,
8,
8,
0,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1588291200.0,
"end_time": "2020-05-31T23:59:00.000Z",
"begin_time": "2020-05-01T00:00:00.000Z"
},
{
"end_timestamp": 1593561599.0,
"counter_values": [
{
"counter_values": [
0,
0,
6,
0,
5,
11,
6,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1590969600.0,
"end_time": "2020-06-30T23:59:00.000Z",
"begin_time": "2020-06-01T00:00:00.000Z"
}
],
"counter_names": [
"detected_virus",
"detected_spam",
"threat_content_filter",
"total_dlp_incidents",
"total_clean_recipients",
"total_recipients_processed",
"total_threat_recipients",
"detected_amp"
]
}
}
}
Ping
Descrição
Teste a conectividade com o servidor IronPort usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.