IRONSCALES
Integrationsversion: 3.0
Anwendungsbereiche
- Vorfall klassifizieren
- Details zu Vorfällen
- Details zur Eindämmung von Identitätsdiebstahl
- Details zu Vorfällen mit Gegenmaßnahmen
- Maßnahmen pro Postfach
- AWS GuardDuty-Integration in Google Security Operations konfigurieren
IRONSCALES-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://members.ironscales.com/ | Ja | API-Stammverzeichnis der IRONSCALES-Instanz. |
| API-Token | String | – | Ja | API-Token von IRONSCALES. |
| Unternehmens-ID | String | – | Ja | Geben Sie die Unternehmens-ID an, die in IRONSCALES verwendet werden soll. |
| Ist Partner | Kästchen | Deaktiviert | Ja | Geben Sie an, ob die Unternehmens-ID oben auch eine Partner-ID ist. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum IRONSCALES-Server gültig ist. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu IRONSCALES mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Vorfall klassifizieren
Beschreibung
Klassifizierung von Vorfällen ändern
Parameter
| Anzeigename des Parameters | Typ | Standardwert | DDL-Werte | Pflichtfeld | Beschreibung |
|---|---|---|---|---|---|
| Vorfall-IDs | String | – | Ja | Geben Sie die IDs der zu klassifizierenden Vorfälle an. | |
| Neue Klassifizierung | DDL | Angriff | Angriff Falsch positives Ergebnis Spam |
Ja | Geben Sie die neue Klassifizierung für diese Vorfälle an. Hinweis: Geben Sie für die Klassifizierung von Phishingangriffen „Attack“, für Falschmeldungen „False Positive“ und für Spam „Spam“ ein. |
| E‑Mail-Adresse des Nutzers klassifizieren | Nutzer | – | Ja | Geben Sie an, welcher Nutzer die Klassifizierung vornimmt, indem Sie seine E-Mail-Adresse angeben. Hinweis: Diese E‑Mail-Adresse sollte von IRONSCALES erkannt werden. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Playbook-Ausführung nicht beenden: Für gefundene Vorfall-IDs:Gib „Vorfälle wurden erfolgreich als {new_classification} klassifiziert.“ aus. Vorgangs-IDs: {Ids_list}.“
Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Details zu Vorfällen abrufen
Beschreibung
Vollständige Vorfalldetails von IRONSCALES abrufen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Vorfall-IDs | String | – | Ja | Geben Sie die IDs der Vorfälle an, für die Sie Details abrufen möchten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"company_id": "3911",
"company_name": "SIEMPLIFY",
"incident_id": "753277",
"classification": "Attack",
"first_reported_by": "בונד ג'יימס",
"first_reported_date": "2020-06-17T15:49:56.755Z",
"affected_mailbox_count": 2,
"sender_reputation": "medium",
"banner_displayed": null,
"sender_email": "demo@ironscales.com",
"reply_to": null,
"spf_result": null,
"sender_is_internal": false,
"themis_proba": null,
"themis_verdict": "Insufficient Data",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"federation": {
"companies_affected": 2,
"companies_marked_phishing": 2,
"companies_marked_spam": 0,
"companies_marked_fp": 0,
"companies_unclassified": 0,
"phishing_ratio": 1.0
},
"reports": [
{
"name": "בונד ג'יימס",
"email": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "FW: Carey Hart",
"sender_email": "demo@ironscales.com",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"headers": [
{
"name": "Received",
"value": "from DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:20b:b2::22) by AM6PR05MB5957.eurprd05.prod.outlook.com with HTTPS via AM6PR08CA0010.EURPRD08.PROD.OUTLOOK.COM; Wed, 17 Jun 2020 15:44:55 +0000"
},
{
"name": "Received",
"value": "from AM5PR0601CA0039.eurprd06.prod.outlook.com (2603:10a6:203:68::25) by DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:10:86::14) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3088.18; Wed, 17 Jun 2020 15:44:54 +0000"
}
]
}
],
"links": [
{
"url": "https://en.wikipedia.org/wiki/Carey_Hart#cite_note-Gale-1",
"name": "[1]"
},
{
"url": "https://en.wikipedia.org/wiki/Americans",
"name": "American"
}
],
"attachments": []
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden: Bei erfolgreichen Vorfall-IDs:Gib „Successfully fetched incidents details from IRONSCALES. incident IDs: {IDS_list}.“ aus.
Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Details zur Eindämmung von Identitätsdiebstahl abrufen
Beschreibung
Rufen Sie die neuesten Vorfälle von Identitätsdiebstahl ab.
Die Ergebnisse sind auf die letzten 1.000 Vorfälle beschränkt. Wenn die Anzahl der Vorfälle im Zeitraum dieses Limit überschreitet, wird eine entsprechende Meldung angezeigt.
Die hier zurückgegebenen IDs beziehen sich auf Identitätsdiebstahlversuche, nicht auf Vorfälle oder Berichte. Wenn Sie also mit diesen IDs in anderen Endpunkten suchen, werden nicht die erwarteten Vorfälle zurückgegeben.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | DDL-Werte | Beschreibung |
|---|---|---|---|---|---|
| Zeitraum | DDL | Letzte 24 Stunden | Ja | Letzte 24 Stunden Letzte 7 Tage Letzte 90 Tage Letzte 180 Tage Letzte 360 Tage Seit Jahresbeginn Gesamte Zeit |
Geben Sie den Zeitraum an, für den Sie Details zur Eindämmung von Identitätsdiebstahl abrufen möchten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"page": null,
"total_pages": null,
"incidents": [
{
"incidentID": 100694130,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:17.592631+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100694131,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:18.024769+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100696686,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:25:43.216123+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "n",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
}
],
"messages": []
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung des Playbooks nicht beenden: |
Allgemein |
Details zur Behebung von Vorfällen abrufen
Beschreibung
Aktuelle Informationen zu den Maßnahmen des Unternehmens abrufen
Die Ergebnisse sind auf die letzten 1.000 Vorfälle beschränkt. Wenn die Anzahl der Vorfälle im Zeitraum dieses Limit überschreitet, wird eine entsprechende Meldung angezeigt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | DDL-Werte | Beschreibung |
|---|---|---|---|---|---|
| Zeitraum | DDL | Letzte 24 Stunden | Ja | Letzte 24 Stunden Letzte 7 Tage Letzte 90 Tage Letzte 180 Tage Letzte 360 Tage Seit Jahresbeginn Gesamte Zeit |
Geben Sie den Zeitraum an, für den Sie Details zur Behebung von Vorfällen abrufen möchten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"messages": [],
"incidents": [
{
"incidentID": 1251713,
"incidentState": 2,
"remediatedTime": "2020-12-07T15:22:38.798292+00:00",
"affectedMailboxCount": 6,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "False Positive",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1251683,
"incidentState": 7,
"remediatedTime": "2020-12-07T15:20:18.546309+00:00",
"affectedMailboxCount": 2,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "Spam",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1257956,
"incidentState": 1,
"remediatedTime": "2020-12-08T13:40:50.730184+00:00",
"affectedMailboxCount": 4,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"threatType": "Unclassified",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks beenden: Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Maßnahmen pro Postfach abrufen
Beschreibung
Details zu den Maßnahmen pro Postfach abrufen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | DDL-Werte | Beschreibung |
|---|---|---|---|---|---|
| Vorfall-IDs | CSV | – | Ja | - | Geben Sie eine durch Kommas getrennte Liste der Vorfall-IDs ein, nach denen gesucht werden soll. |
| Zeitraum | DDL | Gesamte Zeit | Nein | Letzte 24 Stunden Letzte 7 Tage Letzte 90 Tage Letzte 180 Tage Letzte 360 Tage Seit Jahresbeginn Gesamte Zeit |
Geben Sie den Zeitraum an, für den Sie Informationen zu Gegenmaßnahmen pro Postfach erhalten möchten. |
| Max. abzurufende Seiten | Ganzzahl | 1 | Ja | - | Geben Sie die maximale Anzahl der Seiten an, die abgerufen werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"page": 1,
"total_pages": 1,
"mitigations": [
{
"incidentID": 1257956,
"mitigationID": 48919694,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48919695,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305177,
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918977,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918344,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1264413,
"mitigationID": 49068886,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:22:43.096Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 8] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49066007,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:05:35.650Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49064037,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T15:49:05.567Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
}
],
"messages": []
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg:print „Successfully fetched details of incident mitigations per mailbox for the +{period}“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten