IRONSCALES
Versión de la integración: 3.0
Casos de uso
- Clasifica el incidente
- Detalles del incidente
- Detalles de la mitigación de la suplantación
- Detalles de incidentes de mitigación
- Mitigaciones por buzón
- Configura la integración de AWS GuardDuty en Google Security Operations
Configura la integración de IRONSCALES en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://members.ironscales.com/ | Sí | Es la raíz de la API de la instancia de IRONSCALES. |
| Token de API | String | N/A | Sí | Es el token de API de IRONSCALES. |
| ID de la empresa | String | N/A | Sí | Especifica el ID de la empresa que se usará en IRONSCALES. |
| Es socio | Casilla de verificación | Desmarcado | Sí | Especifica si el ID de la empresa anterior también es un ID de socio. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de IRONSCALES sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con IRONSCALES con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: La acción debe fallar y detener la ejecución de la guía: |
General |
Clasifica el incidente
Descripción
Cambiar la clasificación de los incidentes
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Valores de DDL | Is Mandatory | Descripción |
|---|---|---|---|---|---|
| IDs de incidentes | String | N/A | Sí | Especifica los IDs de los incidentes que se clasificarán. | |
| Nueva clasificación | DDL | Atacar | Atacar Falso positivo Spam |
Sí | Especifica la nueva clasificación para estos incidentes. Nota: Para la clasificación de ataque de phishing, ingresa "Attack"; para falso positivo, "False Positive"; y para spam, "Spam". |
| Clasificación del correo electrónico del usuario | Usuario | N/A | Sí | Especifica qué usuario realiza la clasificación proporcionando su dirección de correo electrónico. Nota: IRONSCALES debe reconocer esta dirección de correo electrónico. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Para los IDs de incidentes encontrados: Imprime "Se clasificaron correctamente los incidentes como {new_classification}. IDs de incidentes: {Ids_list}”.
La acción debe fallar y detener la ejecución de la guía: |
General |
Obtén detalles del incidente
Descripción
Obtén detalles completos del incidente de IRONSCALES
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| IDs de incidentes | String | N/A | Sí | Especifica los IDs de los incidentes para los que se recuperarán los detalles. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"company_id": "3911",
"company_name": "SIEMPLIFY",
"incident_id": "753277",
"classification": "Attack",
"first_reported_by": "בונד ג'יימס",
"first_reported_date": "2020-06-17T15:49:56.755Z",
"affected_mailbox_count": 2,
"sender_reputation": "medium",
"banner_displayed": null,
"sender_email": "demo@ironscales.com",
"reply_to": null,
"spf_result": null,
"sender_is_internal": false,
"themis_proba": null,
"themis_verdict": "Insufficient Data",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"federation": {
"companies_affected": 2,
"companies_marked_phishing": 2,
"companies_marked_spam": 0,
"companies_marked_fp": 0,
"companies_unclassified": 0,
"phishing_ratio": 1.0
},
"reports": [
{
"name": "בונד ג'יימס",
"email": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "FW: Carey Hart",
"sender_email": "demo@ironscales.com",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"headers": [
{
"name": "Received",
"value": "from DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:20b:b2::22) by AM6PR05MB5957.eurprd05.prod.outlook.com with HTTPS via AM6PR08CA0010.EURPRD08.PROD.OUTLOOK.COM; Wed, 17 Jun 2020 15:44:55 +0000"
},
{
"name": "Received",
"value": "from AM5PR0601CA0039.eurprd06.prod.outlook.com (2603:10a6:203:68::25) by DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:10:86::14) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3088.18; Wed, 17 Jun 2020 15:44:54 +0000"
}
]
}
],
"links": [
{
"url": "https://en.wikipedia.org/wiki/Carey_Hart#cite_note-Gale-1",
"name": "[1]"
},
{
"url": "https://en.wikipedia.org/wiki/Americans",
"name": "American"
}
],
"attachments": []
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Para los IDs de incidentes exitosos: Imprime "Se recuperaron correctamente los detalles de los incidentes de IRONSCALES. IDs de incidentes: {IDS_list}".
La acción debe fallar y detener la ejecución de un playbook: |
General |
Obtén detalles sobre la mitigación de la suplantación
Descripción
Obtén los incidentes de suplantación de identidad de la empresa más recientes.
Los resultados se limitan a los 1,000 incidentes más recientes. Si la cantidad de incidentes en el período supera este límite, aparecerá un mensaje.
Ten en cuenta que los IDs que se muestran aquí son de intentos de suplantación, no de incidentes ni informes, por lo que buscar estos IDs en otros endpoints no devolverá los incidentes esperados.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Valores de DDL | Descripción |
|---|---|---|---|---|---|
| Período | DDL | Últimas 24 horas | Sí | Últimas 24 horas Últimos 7 días Últimos 90 días Últimos 180 días Últimos 360 días Lo que va del año actual Todo el período |
Especifica el período para el que deseas obtener detalles sobre la suplantación de identidad para la mitigación. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"page": null,
"total_pages": null,
"incidents": [
{
"incidentID": 100694130,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:17.592631+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100694131,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:18.024769+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100696686,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:25:43.216123+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "n",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
}
],
"messages": []
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: |
General |
Obtén detalles sobre la mitigación del incidente
Descripción
Obtén los detalles de mitigación más recientes de la empresa.
Los resultados se limitan a los 1,000 incidentes más recientes. Si la cantidad de incidentes en el período supera este límite, aparecerá un mensaje.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Valores de DDL | Descripción |
|---|---|---|---|---|---|
| Período | DDL | Últimas 24 horas | Sí | Últimas 24 horas Últimos 7 días Últimos 90 días Últimos 180 días Últimos 360 días Lo que va del año actual Todo el período |
Especifica el período para el que deseas obtener detalles sobre la mitigación de incidentes. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"messages": [],
"incidents": [
{
"incidentID": 1251713,
"incidentState": 2,
"remediatedTime": "2020-12-07T15:22:38.798292+00:00",
"affectedMailboxCount": 6,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "False Positive",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1251683,
"incidentState": 7,
"remediatedTime": "2020-12-07T15:20:18.546309+00:00",
"affectedMailboxCount": 2,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "Spam",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1257956,
"incidentState": 1,
"remediatedTime": "2020-12-08T13:40:50.730184+00:00",
"affectedMailboxCount": 4,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"threatType": "Unclassified",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: La acción debe fallar y detener la ejecución de un playbook: |
General |
Obtener mitigaciones por buzón
Descripción
Obtén detalles de las mitigaciones por buzón.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Valores de DDL | Descripción |
|---|---|---|---|---|---|
| IDs de incidentes | CSV | N/A | Sí | - | Proporciona una lista separada por comas de los IDs de incidentes que se deben buscar. |
| Período | DDL | Todo el período | No | Últimas 24 horas Últimos 7 días Últimos 90 días Últimos 180 días Últimos 360 días Lo que va del año actual Todo el período |
Especifica el período para el que deseas obtener las mitigaciones por buzón. |
| Cantidad máxima de páginas para recuperar | Número entero | 1 | Sí | - | Especifica la cantidad máxima de páginas que deseas recuperar. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"page": 1,
"total_pages": 1,
"mitigations": [
{
"incidentID": 1257956,
"mitigationID": 48919694,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48919695,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305177,
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918977,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918344,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1264413,
"mitigationID": 49068886,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:22:43.096Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 8] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49066007,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:05:35.650Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49064037,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T15:49:05.567Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
}
],
"messages": []
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente, imprime "Se recuperaron correctamente los detalles de las mitigaciones de incidentes por buzón para el período +{period}". La acción debe fallar y detener la ejecución de un playbook: |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.