IronPort
集成版本:12.0
产品权限
AsyncOS API 是基于角色的系统。API 查询的范围由用户的角色定义。具有以下角色的 Cisco Content Security Management appliance 用户可以访问 AsyncOS API:
- 管理员
- 运算符
- 技术人员
- 只读操作员
- 访客
- Web 管理员
- Web Policy Administrator
- 网址过滤管理员
- 电子邮件管理员
- 帮助台用户
在 Google SecOps 中配置 IronPort 集成
使用 CA 证书配置 IronPort 集成
您可以根据需要使用 CA 证书文件验证连接。
在开始之前,请确保您满足以下条件:
- CA 证书文件
- 最新的 IronPort 集成版本
如需配置与 CA 证书的集成,请完成以下步骤:
- 将您的 CA 证书文件解析为 Base64 字符串。
- 打开集成配置参数页面。
- 将该字符串插入到 CA 证书文件字段中。
- 如需测试集成是否已成功配置,请选中验证 SSL 复选框,然后点击测试。
在 Google SecOps 中配置 IronPort 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| IronPort 服务器地址 | 字符串 | x.x.x.x | 是 | 要连接的 IronPort 服务器地址。 |
| IronPort AsyncOS API 端口 | 字符串 | 6443 | 正确 | IronPort AsyncOS API 端口,用于连接。 |
| Ironport SSH 端口 | 字符串 | 22 | 是 | 要连接的 IronPort SSH 端口。 |
| 用户名 | 字符串 | 不适用 | 是 | 用于集成的 IronPort 账号。 |
| 口令(密码) | 密码 | 不适用 | 是 | 相应账号的密码。 |
| CA 证书文件 - 解析为 Base64 字符串 | 字符串 | 不适用 | 否 | 不适用 |
| Use SSL(使用 SSL) | 复选框 | 勾选 | 否 | 指定是否应使用 HTTPS 连接到 AsyncOS API。 |
| 验证 SSL | 复选框 | 尚未核查 | 否 | 指定是否应启用证书验证(将检查为 AsyncOS API 配置的证书是否有效)。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
将发件人添加到屏蔽名单
说明
将发件人添加到屏蔽名单。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 发送者 | 字符串 | 不适用 | 是 | 要添加到屏蔽列表中的发件人地址。该操作接受以英文逗号分隔的多个地址。 |
| 过滤条件列表 | 字符串 | 不适用 | 是 | 屏蔽列表的名称。 |
剧本使用场景示例
根据 Google SecOps 中的分析结果,将不需要的电子邮件发件人添加到 IronPort 黑名单。
运行于
此操作不会在实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
按发件人获取所有收件人
说明
获取收到指定发件人电子邮件的收件人列表。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 发件人 | 字符串 | 不适用 | 是 | 要按发件人电子邮件地址过滤。 |
| 搜索过去 X 天内的电子邮件 | 整数 | 7 | 是 | 指定要搜索电子邮件的时间范围。请注意,此值应根据 IronPort 处理的电子邮件数量进行设置,如果提供的值过大,操作可能会超时。 |
| 设置电子邮件搜索时间段 | DDL | 天 | 是 | 指定搜索电子邮件的时间范围(以天或小时为单位)。 |
| 返回的收件人数上限 | 整数 | 20 | 是 | 指定操作应返回多少个收件人。 |
| 页面大小 | 整数 | 100 | 是 | 指定操作在搜索电子邮件时要使用的页面大小。 |
剧本使用场景示例
根据操作中提供的发件人电子邮件地址搜索电子邮件收件人。
运行于
此操作不会在实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 结果 | 不适用 | 不适用 |
JSON 结果
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A",
"subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
}
}
按主题获取所有收件人
说明
获取收到具有相同主题的电子邮件的收件人列表。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 主题 | 字符串 | 不适用 | 是 | 要过滤的主题。 |
| 搜索过去 X 天内的电子邮件 | 整数 | 7 | 是 | 指定要搜索电子邮件的时间范围。请注意,此值应根据 IronPort 处理的电子邮件数量进行设置,如果提供的值过大,操作可能会超时。 |
| 设置电子邮件搜索时间段 | DDL | 天 | 是 | 指定搜索电子邮件的时间段(以天或小时为单位)。 |
| 返回的收件人数上限 | 整数 | 20 | 是 | 指定操作应返回多少个收件人。 |
| 页面大小 | 整数 | 100 | 是 | 指定操作在搜索电子邮件时要使用的页面大小。 |
剧本使用场景示例
当电子邮件的主题包含 Unicode 时,在 IronPort 中搜索电子邮件信息。
运行于
此操作不会在实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 收件人 | 不适用 | 不适用 |
JSON 结果
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A"
}
获取报告
说明
提取特定的 IronPort 报告信息。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
报告类型 |
下拉列表 | 默认值:None | 是 | 要提取的报告类型。 注意:mail_sender_ip_hostname_detail 和 mail_incoming_ip_hostname_detail 报告基于 Google SecOps IP 或主机实体;mail_users_detail 基于 Google SecOps 用户实体(包含电子邮件地址)。其他报告在没有 Google SecOps 实体的支持下也能正常运行。 |
| 过去 X 天的搜索报告数据 | 整数 | 7 | 是 | 指定搜索报告数据的时间范围(以天为单位)。默认设置为过去 7 天。 |
| 要返回的记录数上限 | 整数 | 20 | 是 | 指定操作应返回的记录数。 |
剧本使用场景示例
从 IronPort 服务器获取报告信息,以便在 Google SecOps 中分析提醒。
运行于
- IP 或主机 - mail_sender_ip_hostname_detail 和 mail_incoming_ip_hostname_detail 报告
- 用户 - mail_users_detail 报告
- NONE - 其他报告类型在没有 Google SecOps 实体的环境中正常运行。
操作执行结果
实体扩充
实体丰富功能应与现有操作一样正常运行 - 如果报告返回了特定 Google SecOps 实体的数据,则使用返回的数据进行丰富。
请参阅现有的操作代码以供参考。
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
{
"meta": {
"totalCount": -1
},
"data": {
"type": "mail_sender_ip_hostname_detail",
"resultSet": {
"time_intervals": [
{
"end_timestamp": 1590969599.0,
"counter_values": [
{
"counter_values": [
0,
0,
0,
0,
8,
8,
0,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1588291200.0,
"end_time": "2020-05-31T23:59:00.000Z",
"begin_time": "2020-05-01T00:00:00.000Z"
},
{
"end_timestamp": 1593561599.0,
"counter_values": [
{
"counter_values": [
0,
0,
6,
0,
5,
11,
6,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1590969600.0,
"end_time": "2020-06-30T23:59:00.000Z",
"begin_time": "2020-06-01T00:00:00.000Z"
}
],
"counter_names": [
"detected_virus",
"detected_spam",
"threat_content_filter",
"total_dlp_incidents",
"total_clean_recipients",
"total_recipients_processed",
"total_threat_recipients",
"detected_amp"
]
}
}
}
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 IronPort 服务器的连接。
参数
不适用
运行于
此操作不会在实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。