IronPort
整合版本:12.0
產品權限
AsyncOS API 是以角色為基礎的系統。API 查詢的範圍取決於使用者的角色。具備下列角色的 Cisco 內容安全管理設備使用者,可以存取 AsyncOS API:
- 管理員
- 運算子
- 技術人員
- 唯讀運算子
- 訪客
- 網站管理員
- Web 政策管理員
- 網址篩選管理員
- 電子郵件管理員
- 服務中心使用者
在 Google SecOps 中設定 IronPort 整合
使用 CA 憑證設定 IronPort 整合
如有需要,您可以透過 CA 憑證檔案驗證連線。
開始之前,請確認您具備以下項目:
- CA 憑證檔案
- 最新版 IronPort 整合功能
如要設定與 CA 憑證的整合,請完成下列步驟:
- 將 CA 憑證檔案剖析為 Base64 字串。
- 開啟整合設定參數頁面。
- 將字串插入「CA Certificate File」欄位。
- 如要測試整合設定是否成功,請選取「驗證 SSL」核取方塊,然後按一下「測試」。
在 Google SecOps 中設定 IronPort 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| IronPort 伺服器位址 | 字串 | x.x.x.x | 是 | 要連線的 IronPort 伺服器地址。 |
| IronPort AsyncOS API 連接埠 | 字串 | 6443 | 是 | 要連線的 IronPort AsyncOS API 通訊埠。 |
| Ironport SSH 連接埠 | 字串 | 22 | 是 | 要連線的 IronPort SSH 通訊埠。 |
| 使用者名稱 | 字串 | 不適用 | 是 | 用於整合的 IronPort 帳戶。 |
| 通關密語 (密碼) | 密碼 | 不適用 | 是 | 帳戶密碼。 |
| CA 憑證檔案 - 已剖析為 Base64 字串 | 字串 | 不適用 | 否 | 不適用 |
| 使用 SSL | 核取方塊 | 已勾選 | 否 | 指定是否應使用 HTTPS 連線至 AsyncOS API。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 否 | 指定是否應啟用憑證驗證 (檢查為 AsyncOS API 設定的憑證是否有效)。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
將寄件者加入封鎖清單
說明
將寄件者加入封鎖清單。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 寄件者 | 字串 | 不適用 | 是 | 要加入封鎖清單的寄件者地址。這項動作接受以半形逗號分隔的多個地址。 |
| 篩選器清單 | 字串 | 不適用 | 是 | 封鎖名單的名稱。 |
應對手冊用途示例
根據 Google SecOps 的分析結果,將不想要的電子郵件寄件者加入 IronPort 黑名單。
執行時間
這項操作不會對實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
依寄件者取得所有收件者
說明
取得收到特定寄件者電子郵件的收件者清單。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 寄件者 | 字串 | 不適用 | 是 | 要用來篩選的寄件者電子郵件地址。 |
| 搜尋最近 X 的電子郵件 | 整數 | 7 | 是 | 指定要搜尋電子郵件的時間範圍。請注意,這個值應根據 IronPort 處理的電子郵件數量進行設定,如果提供的值過大,動作可能會逾時。 |
| 在「Set Search Email Period」(設定搜尋電子郵件週期) 中 | DDL | 天 | 是 | 指定搜尋電子郵件時應以天數或時數為單位。 |
| 要傳回的收件者數量上限 | 整數 | 20 | 是 | 指定動作應傳回的收件者人數。 |
| 頁面大小 | 整數 | 100 | 是 | 指定動作在搜尋電子郵件時使用的頁面大小。 |
應對手冊用途示例
根據動作中提供的寄件者電子郵件,搜尋電子郵件收件者。
執行時間
這項操作不會對實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 結果 | 不適用 | 不適用 |
JSON 結果
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A",
"subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
}
}
依主旨取得所有收件者
說明
取得收到相同主旨電子郵件的收件者清單。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 主旨 | 字串 | 不適用 | 是 | 要篩選的主體。 |
| 搜尋最近 X 的電子郵件 | 整數 | 7 | 是 | 指定要搜尋電子郵件的時間範圍。請注意,這個值應根據 IronPort 處理的電子郵件數量進行設定,如果提供的值過大,動作可能會逾時。 |
| 在「Set Search Email Period」(設定搜尋電子郵件週期) 中 | DDL | 天 | 是 | 指定搜尋電子郵件的期間 (以天或小時為單位)。 |
| 要傳回的收件者數量上限 | 整數 | 20 | 是 | 指定動作應傳回的收件者人數。 |
| 頁面大小 | 整數 | 100 | 是 | 指定動作在搜尋電子郵件時使用的頁面大小。 |
應對手冊用途示例
如果電子郵件主旨含有 Unicode,請在 IronPort 中搜尋電子郵件資訊。
執行時間
這項操作不會對實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 收件者 | 不適用 | 不適用 |
JSON 結果
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A"
}
取得報告
說明
擷取特定 IronPort 報表資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
報表類型 |
下拉式清單 | 預設值:無 | 是 | 要擷取的報表類型。 注意:mail_sender_ip_hostname_detail 和 mail_incoming_ip_hostname_detail 報表是根據 Google SecOps IP 或主機實體運作;mail_users_detail 則是根據 Google SecOps 使用者實體 (含電子郵件地址) 運作。其他報表可正常運作,不需使用 Google SecOps 實體。 |
| 過去 X 天的搜尋報表資料 | 整數 | 7 | 是 | 指定要搜尋報表資料的時間範圍 (以天為單位)。預設為過去 7 天。 |
| 要傳回的記錄數量上限 | 整數 | 20 | 是 | 指定動作應傳回的記錄數。 |
應對手冊用途示例
從 IronPort 伺服器取得報表資訊,以便在 Google SecOps 中分析快訊。
執行時間
- IP 或主機 - mail_sender_ip_hostname_detail 和 mail_incoming_ip_hostname_detail 報表
- 使用者 - mail_users_detail 報表
- 無 - 其他報表類型可正常運作,不需 Google SecOps 實體。
動作執行結果
實體擴充
實體擴充功能應與現有動作相同,如果報表傳回特定 Google SecOps 實體的資料,請使用傳回的資料進行擴充。
請參閱現有的動作程式碼。
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
{
"meta": {
"totalCount": -1
},
"data": {
"type": "mail_sender_ip_hostname_detail",
"resultSet": {
"time_intervals": [
{
"end_timestamp": 1590969599.0,
"counter_values": [
{
"counter_values": [
0,
0,
0,
0,
8,
8,
0,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1588291200.0,
"end_time": "2020-05-31T23:59:00.000Z",
"begin_time": "2020-05-01T00:00:00.000Z"
},
{
"end_timestamp": 1593561599.0,
"counter_values": [
{
"counter_values": [
0,
0,
6,
0,
5,
11,
6,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1590969600.0,
"end_time": "2020-06-30T23:59:00.000Z",
"begin_time": "2020-06-01T00:00:00.000Z"
}
],
"counter_names": [
"detected_virus",
"detected_spam",
"threat_content_filter",
"total_dlp_incidents",
"total_clean_recipients",
"total_recipients_processed",
"total_threat_recipients",
"detected_amp"
]
}
}
}
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 IronPort 伺服器的連線。
參數
不適用
執行時間
這項操作不會對實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。