IRONSCALES
Version de l'intégration : 3.0
Cas d'utilisation
- Classer l'incident
- Détails de l'incident
- Informations sur l'usurpation d'identité et les mesures d'atténuation
- Détails des incidents de mitigation
- Mesures d'atténuation par boîte aux lettres
- Configurer l'intégration AWS GuardDuty sur Google Security Operations
Configurer l'intégration IRONSCALES dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
---|---|---|---|---|
Racine de l'API | Chaîne | https://members.ironscales.com/ | Oui | Racine de l'API de l'instance IRONSCALES. |
Jeton d'API | Chaîne | N/A | Oui | Jeton d'API IRONSCALES. |
ID de l'entreprise | Chaîne | N/A | Oui | Spécifiez l'ID d'entreprise à utiliser dans IRONSCALES. |
Est partenaire | Case à cocher | Décochée | Oui | Indiquez si l'ID d'entreprise ci-dessus est également un ID de partenaire. |
Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur IRONSCALES est valide. |
Actions
Ping
Description
Testez la connectivité à IRONSCALES avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
Nom du résultat du script | Options de valeur |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Mur des cas
Type de résultat | Valeur / Description | Type |
---|---|---|
Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
Classer l'incident
Description
Modifier la classification des incidents
Paramètres
Nom du paramètre à afficher | Type | Valeur par défaut | Valeurs LDD | Obligatoire | Description |
---|---|---|---|---|---|
ID des incidents | Chaîne | N/A | Oui | Spécifiez les ID des incidents à classer. | |
Nouvelle classification | LDD | Attaque | Attaque Faux positif Spam |
Oui | Spécifiez la nouvelle classification pour ces incidents. Remarque : Pour la classification des attaques par hameçonnage, saisissez "Attaque". Pour les faux positifs, saisissez "Faux positif". Pour le spam, saisissez "Spam". |
Classification des e-mails des utilisateurs | Utilisateur | N/A | Oui | Spécifiez l'utilisateur qui effectue la classification en fournissant son adresse e-mail. Remarque : Cette adresse e-mail doit être reconnue par IRONSCALES. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
Nom du résultat du script | Options de valeur |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Mur des cas
Type de résultat | Valeur / Description | Type |
---|---|---|
Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Pour les ID d'incidents trouvés, affichez "Incidents classés dans {new_classification}. Numéros d'incident : {Ids_list}."
L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
Obtenir les détails d'un incident
Description
Obtenir tous les détails d'un incident à partir d'IRONSCALES
Paramètres
Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
---|---|---|---|---|
ID des incidents | Chaîne | N/A | Oui | Spécifiez les ID des incidents pour lesquels vous souhaitez récupérer des informations. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
Nom du résultat du script | Options de valeur |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Résultat JSON
{
"company_id": "3911",
"company_name": "SIEMPLIFY",
"incident_id": "753277",
"classification": "Attack",
"first_reported_by": "בונד ג'יימס",
"first_reported_date": "2020-06-17T15:49:56.755Z",
"affected_mailbox_count": 2,
"sender_reputation": "medium",
"banner_displayed": null,
"sender_email": "demo@ironscales.com",
"reply_to": null,
"spf_result": null,
"sender_is_internal": false,
"themis_proba": null,
"themis_verdict": "Insufficient Data",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"federation": {
"companies_affected": 2,
"companies_marked_phishing": 2,
"companies_marked_spam": 0,
"companies_marked_fp": 0,
"companies_unclassified": 0,
"phishing_ratio": 1.0
},
"reports": [
{
"name": "בונד ג'יימס",
"email": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "FW: Carey Hart",
"sender_email": "demo@ironscales.com",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"headers": [
{
"name": "Received",
"value": "from DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:20b:b2::22) by AM6PR05MB5957.eurprd05.prod.outlook.com with HTTPS via AM6PR08CA0010.EURPRD08.PROD.OUTLOOK.COM; Wed, 17 Jun 2020 15:44:55 +0000"
},
{
"name": "Received",
"value": "from AM5PR0601CA0039.eurprd06.prod.outlook.com (2603:10a6:203:68::25) by DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:10:86::14) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3088.18; Wed, 17 Jun 2020 15:44:54 +0000"
}
]
}
],
"links": [
{
"url": "https://en.wikipedia.org/wiki/Carey_Hart#cite_note-Gale-1",
"name": "[1]"
},
{
"url": "https://en.wikipedia.org/wiki/Americans",
"name": "American"
}
],
"attachments": []
}
Mur des cas
Type de résultat | Valeur / Description | Type |
---|---|---|
Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Pour les ID d'incidents valides, affichez "Successfully fetched incidents details from IRONSCALES. incident IDs: {IDS_list}." (Détails des incidents récupérés avec succès depuis IRONSCALES. ID d'incidents : {IDS_list}).
L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
Obtenir les détails de l'usurpation d'identité atténuée
Description
Obtenez les derniers incidents d'usurpation d'identité d'entreprise.
Les résultats sont limités aux 1 000 incidents les plus récents. Un message s'affiche si le nombre d'incidents au cours de la période dépasse cette limite.
Veuillez noter que les ID renvoyés ici concernent des tentatives d'usurpation d'identité, et non des incidents ou des signalements. Par conséquent, la recherche de ces ID dans d'autres points de terminaison ne renverra pas les incidents attendus.
Paramètres
Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Valeurs LDD | Description |
---|---|---|---|---|---|
Période | LDD | Dernières 24 heures | Oui | Dernières 24 heures 7 derniers jours 90 derniers jours 180 derniers jours 360 derniers jours Depuis le début de l'année en cours Depuis le début |
Spécifiez la période pour laquelle vous souhaitez obtenir des informations sur l'usurpation d'identité. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
Nom du résultat du script | Options de valeur |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Résultat JSON
{
"page": null,
"total_pages": null,
"incidents": [
{
"incidentID": 100694130,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:17.592631+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100694131,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:18.024769+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100696686,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:25:43.216123+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "n",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
}
],
"messages": []
}
Mur des cas
Type de résultat | Valeur / Description | Type |
---|---|---|
Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : |
Général |
Obtenir les détails de la résolution d'un incident
Description
Obtenez les dernières informations sur les mesures d'atténuation de l'entreprise.
Les résultats sont limités aux 1 000 incidents les plus récents. Un message s'affiche si le nombre d'incidents au cours de la période dépasse cette limite.
Paramètres
Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Valeurs LDD | Description |
---|---|---|---|---|---|
Période | LDD | Dernières 24 heures | Oui | Dernières 24 heures 7 derniers jours 90 derniers jours 180 derniers jours 360 derniers jours Depuis le début de l'année en cours Depuis le début |
Indiquez la période pour laquelle vous souhaitez obtenir des informations sur la résolution des incidents. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
Nom du résultat du script | Options de valeur |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Résultat JSON
{
"messages": [],
"incidents": [
{
"incidentID": 1251713,
"incidentState": 2,
"remediatedTime": "2020-12-07T15:22:38.798292+00:00",
"affectedMailboxCount": 6,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "False Positive",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1251683,
"incidentState": 7,
"remediatedTime": "2020-12-07T15:20:18.546309+00:00",
"affectedMailboxCount": 2,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "Spam",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1257956,
"incidentState": 1,
"remediatedTime": "2020-12-08T13:40:50.730184+00:00",
"affectedMailboxCount": 4,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"threatType": "Unclassified",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
}
]
}
Mur des cas
Type de résultat | Valeur / Description | Type |
---|---|---|
Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
Obtenir les atténuations par boîte aux lettres
Description
Obtenez des informations sur les mesures d'atténuation par boîte aux lettres.
Paramètres
Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Valeurs LDD | Description |
---|---|---|---|---|---|
ID d'incident | CSV | N/A | Oui | - | Saisissez une liste d'ID d'incidents séparés par une virgule à rechercher. |
Période | LDD | Depuis le début | Non | Dernières 24 heures 7 derniers jours 90 derniers jours 180 derniers jours 360 derniers jours Depuis le début de l'année en cours Depuis le début |
Indiquez la période pour laquelle vous souhaitez obtenir des mesures d'atténuation par boîte aux lettres. |
Nombre maximal de pages à extraire | Integer | 1 | Oui | - | Spécifiez le nombre maximal de pages que vous souhaitez récupérer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
Nom du résultat du script | Options de valeur |
---|---|
is_success | is_success=False |
is_success | is_success=True |
Résultat JSON
{
"page": 1,
"total_pages": 1,
"mitigations": [
{
"incidentID": 1257956,
"mitigationID": 48919694,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48919695,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305177,
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918977,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918344,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1264413,
"mitigationID": 49068886,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:22:43.096Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 8] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49066007,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:05:35.650Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49064037,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T15:49:05.567Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
}
],
"messages": []
}
Mur des cas
Type de résultat | Valeur / Description | Type |
---|---|---|
Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit, affichez "Successfully fetched details of incident mitigations per mailbox for the +{period}" L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.