IRONSCALES

Version de l'intégration : 3.0

Cas d'utilisation

  1. Classer l'incident
  2. Détails de l'incident
  3. Informations sur l'usurpation d'identité et les mesures d'atténuation
  4. Détails des incidents de mitigation
  5. Mesures d'atténuation par boîte aux lettres
  6. Configurer l'intégration AWS GuardDuty sur Google Security Operations

Configurer l'intégration IRONSCALES dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom du paramètre à afficher Type Valeur par défaut Obligatoire Description
Racine de l'API Chaîne https://members.ironscales.com/ Oui Racine de l'API de l'instance IRONSCALES.
Jeton d'API Chaîne N/A Oui Jeton d'API IRONSCALES.
ID de l'entreprise Chaîne N/A Oui Spécifiez l'ID d'entreprise à utiliser dans IRONSCALES.
Est partenaire Case à cocher Décochée Oui Indiquez si l'ID d'entreprise ci-dessus est également un ID de partenaire.
Vérifier le protocole SSL Case à cocher Décochée Oui Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur IRONSCALES est valide.

Actions

Ping

Description

Testez la connectivité à IRONSCALES avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.

Exécuter sur

L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
en cas de succès, affichez "Successfully connected to the IRONSCALES server with the provided connection parameters!" (Connexion au serveur IRONSCALES établie avec succès avec les paramètres de connexion fournis !)

L'action doit échouer et arrêter l'exécution d'un playbook :
if not successful: print "Failed to connect to the IRONSCALES server! Error is {0}".format(exception.stacktrace)

Général

Classer l'incident

Description

Modifier la classification des incidents

Paramètres

Nom du paramètre à afficher Type Valeur par défaut Valeurs LDD Obligatoire Description
ID des incidents Chaîne N/A Oui Spécifiez les ID des incidents à classer.
Nouvelle classification LDD Attaque

Attaque

Faux positif

Spam

Oui Spécifiez la nouvelle classification pour ces incidents. Remarque : Pour la classification des attaques par hameçonnage, saisissez "Attaque". Pour les faux positifs, saisissez "Faux positif". Pour le spam, saisissez "Spam".
Classification des e-mails des utilisateurs Utilisateur N/A Oui Spécifiez l'utilisateur qui effectue la classification en fournissant son adresse e-mail. Remarque : Cette adresse e-mail doit être reconnue par IRONSCALES.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action
Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
en cas de succès :

Pour les ID d'incidents trouvés, affichez "Incidents classés dans {new_classification}. Numéros d'incident : {Ids_list}."


Pour les ID d'incidents introuvables, affichez "Impossible de classer les ID d'incidents suivants : {Ids_list}."

L'action doit échouer et arrêter l'exécution d'un playbook :
if not successful: print "Error executing action "Classify Incident". Raison : {0}''.format(error.Stacktrace)

Général

Obtenir les détails d'un incident

Description

Obtenir tous les détails d'un incident à partir d'IRONSCALES

Paramètres

Nom du paramètre à afficher Type Valeur par défaut Obligatoire Description
ID des incidents Chaîne N/A Oui Spécifiez les ID des incidents pour lesquels vous souhaitez récupérer des informations.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Résultat JSON
{
    "company_id": "3911",
    "company_name": "SIEMPLIFY",
    "incident_id": "753277",
    "classification": "Attack",
    "first_reported_by": "בונד ג'יימס",
    "first_reported_date": "2020-06-17T15:49:56.755Z",
    "affected_mailbox_count": 2,
    "sender_reputation": "medium",
    "banner_displayed": null,
    "sender_email": "demo@ironscales.com",
    "reply_to": null,
    "spf_result": null,
    "sender_is_internal": false,
    "themis_proba": null,
    "themis_verdict": "Insufficient Data",
    "mail_server": {
        "host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
        "ip": "2603:10a6:20b:51::26"
    },
    "federation": {
        "companies_affected": 2,
        "companies_marked_phishing": 2,
        "companies_marked_spam": 0,
        "companies_marked_fp": 0,
        "companies_unclassified": 0,
        "phishing_ratio": 1.0
    },
    "reports": [
        {
            "name": "בונד ג'יימס",
            "email": "james.bond@siemplifycyarx.onmicrosoft.com",
            "subject": "FW: Carey Hart",
            "sender_email": "demo@ironscales.com",
            "mail_server": {
                "host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
                "ip": "2603:10a6:20b:51::26"
            },
            "headers": [
                {
                    "name": "Received",
                    "value": "from DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:20b:b2::22) by AM6PR05MB5957.eurprd05.prod.outlook.com with HTTPS via AM6PR08CA0010.EURPRD08.PROD.OUTLOOK.COM; Wed, 17 Jun 2020 15:44:55 +0000"
                },
                {
                    "name": "Received",
                    "value": "from AM5PR0601CA0039.eurprd06.prod.outlook.com (2603:10a6:203:68::25) by DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:10:86::14) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3088.18; Wed, 17 Jun 2020 15:44:54 +0000"
                }
            ]
        }
    ],
    "links": [
        {
            "url": "https://en.wikipedia.org/wiki/Carey_Hart#cite_note-Gale-1",
            "name": "[1]"
        },
        {
            "url": "https://en.wikipedia.org/wiki/Americans",
            "name": "American"
        }
    ],
    "attachments": []
}
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
En cas de succès :

Pour les ID d'incidents valides, affichez "Successfully fetched incidents details from IRONSCALES. incident IDs: {IDS_list}." (Détails des incidents récupérés avec succès depuis IRONSCALES. ID d'incidents : {IDS_list}).


Pour les ID d'incidents introuvables, affichez le message suivant : "L'action n'a pas pu récupérer les détails des ID d'incidents suivants : {IDs_list}. Motif : les ID d'incidents sont introuvables."

L'action doit échouer et arrêter l'exécution d'un playbook :
if not successful : print "Error executing action "Get Incident Details" : {0}''.format(error.Stacktrace)

Général

Obtenir les détails de l'usurpation d'identité atténuée

Description

Obtenez les derniers incidents d'usurpation d'identité d'entreprise.

Les résultats sont limités aux 1 000 incidents les plus récents. Un message s'affiche si le nombre d'incidents au cours de la période dépasse cette limite.

Veuillez noter que les ID renvoyés ici concernent des tentatives d'usurpation d'identité, et non des incidents ou des signalements. Par conséquent, la recherche de ces ID dans d'autres points de terminaison ne renverra pas les incidents attendus.

Paramètres

Nom du paramètre à afficher Type Valeur par défaut Obligatoire Valeurs LDD Description
Période LDD Dernières 24 heures Oui

Dernières 24 heures

7 derniers jours

90 derniers jours

180 derniers jours

360 derniers jours

Depuis le début de l'année en cours

Depuis le début

Spécifiez la période pour laquelle vous souhaitez obtenir des informations sur l'usurpation d'identité.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Résultat JSON
{
    "page": null,
    "total_pages": null,
    "incidents": [
        {
            "incidentID": 100694130,
            "mailboxId": 1305177,
            "remediatedTime": "2020-12-08T19:18:17.592631+00:00",
            "mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
            "senderEmail": "jamesbondtest6@gmail.com",
            "subject": "testing",
            "reportedBy": "IronSights",
            "incidentType": "Display Name Impersonation",
            "resolution": "",
            "remediations": 1
        },
        {
            "incidentID": 100694131,
            "mailboxId": 1305177,
            "remediatedTime": "2020-12-08T19:18:18.024769+00:00",
            "mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
            "senderEmail": "jamesbondtest6@gmail.com",
            "subject": "testing",
            "reportedBy": "IronSights",
            "incidentType": "Display Name Impersonation",
            "resolution": "",
            "remediations": 1
        },
        {
            "incidentID": 100696686,
            "mailboxId": 1305177,
            "remediatedTime": "2020-12-08T19:25:43.216123+00:00",
            "mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
            "senderEmail": "jamesbondtest6@gmail.com",
            "subject": "n",
            "reportedBy": "IronSights",
            "incidentType": "Display Name Impersonation",
            "resolution": "",
            "remediations": 1
        }
    ],
    "messages": []
}
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
en cas de succès, affichez "Successfully fetched details of impersonation mitigations for the +{period}" (Détails des mesures d'atténuation de l'usurpation d'identité récupérés avec succès pour la période +{period})

L'action doit échouer et arrêter l'exécution d'un playbook :
en cas d'échec, affichez "Error executing action "Get Mitigation impersonation details"" (Erreur lors de l'exécution de l'action "Obtenir les détails de l'atténuation de l'usurpation d'identité"). Raison : {0}''.format(error.Stacktrace)

Général

Obtenir les détails de la résolution d'un incident

Description

Obtenez les dernières informations sur les mesures d'atténuation de l'entreprise.

Les résultats sont limités aux 1 000 incidents les plus récents. Un message s'affiche si le nombre d'incidents au cours de la période dépasse cette limite.

Paramètres

Nom du paramètre à afficher Type Valeur par défaut Obligatoire Valeurs LDD Description
Période LDD Dernières 24 heures Oui

Dernières 24 heures

7 derniers jours

90 derniers jours

180 derniers jours

360 derniers jours

Depuis le début de l'année en cours

Depuis le début

Indiquez la période pour laquelle vous souhaitez obtenir des informations sur la résolution des incidents.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Résultat JSON
{
    "messages": [],
    "incidents": [
        {
            "incidentID": 1251713,
            "incidentState": 2,
            "remediatedTime": "2020-12-07T15:22:38.798292+00:00",
            "affectedMailboxCount": 6,
            "mailboxId": 1305171,
            "mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
            "senderEmail": "crazywiz7@abv.bg",
            "subject": "Re: FW: Carey Hart",
            "threatType": "False Positive",
            "detectionType": "User Report",
            "reportedBy": "AI-Powered Incident Response"
        },
        {
            "incidentID": 1251683,
            "incidentState": 7,
            "remediatedTime": "2020-12-07T15:20:18.546309+00:00",
            "affectedMailboxCount": 2,
            "mailboxId": 1305171,
            "mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
            "senderEmail": "crazywiz7@abv.bg",
            "subject": "Re: FW: Carey Hart",
            "threatType": "Spam",
            "detectionType": "User Report",
            "reportedBy": "AI-Powered Incident Response"
        },
        {
            "incidentID": 1257956,
            "incidentState": 1,
            "remediatedTime": "2020-12-08T13:40:50.730184+00:00",
            "affectedMailboxCount": 4,
            "mailboxId": 1305171,
            "mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
            "senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
            "subject": "Testing",
            "threatType": "Unclassified",
            "detectionType": "User Report",
            "reportedBy": "AI-Powered Incident Response"
        }
    ]
}
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
en cas de succès, affichez "Successfully fetched details of incident mitigations for the +{period}"

L'action doit échouer et arrêter l'exécution d'un playbook :
if not successful: print "Error executing action "Get Incident Mitigation details". Raison : {0}''.format(error.Stacktrace)

Général

Obtenir les atténuations par boîte aux lettres

Description

Obtenez des informations sur les mesures d'atténuation par boîte aux lettres.

Paramètres

Nom du paramètre à afficher Type Valeur par défaut Obligatoire Valeurs LDD Description
ID d'incident CSV N/A Oui - Saisissez une liste d'ID d'incidents séparés par une virgule à rechercher.
Période LDD Depuis le début Non

Dernières 24 heures

7 derniers jours

90 derniers jours

180 derniers jours

360 derniers jours

Depuis le début de l'année en cours

Depuis le début

Indiquez la période pour laquelle vous souhaitez obtenir des mesures d'atténuation par boîte aux lettres.
Nombre maximal de pages à extraire Integer 1 Oui - Spécifiez le nombre maximal de pages que vous souhaitez récupérer.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Résultat JSON
{
    "page": 1,
    "total_pages": 1,
    "mitigations": [
        {
            "incidentID": 1257956,
            "mitigationID": 48919694,
            "incidentState": "False Positive",
            "remediatedTime": null,
            "mailboxId": 1305171,
            "mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
            "subject": "Testing",
            "senderEmail": "bruce.wayne@abv.bg",
            "senderIP": "2603:10a6:20b:aa::19",
            "reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
            "resolution": "False Positive",
            "spfResult": "fail"
        },
        {
            "incidentID": 1257956,
            "mitigationID": 48919695,
            "incidentState": "False Positive",
            "remediatedTime": null,
            "mailboxId": 1305177,
            "mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
            "subject": "Testing",
            "senderEmail": "bruce.wayne@abv.bg",
            "senderIP": "2603:10a6:20b:aa::19",
            "reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
            "resolution": "False Positive",
            "spfResult": "fail"
        },
        {
            "incidentID": 1257956,
            "mitigationID": 48918977,
            "incidentState": "False Positive",
            "remediatedTime": null,
            "mailboxId": 1305171,
            "mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
            "subject": "Testing",
            "senderEmail": "bruce.wayne@abv.bg",
            "senderIP": "2603:10a6:20b:aa::19",
            "reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
            "resolution": "False Positive",
            "spfResult": "fail"
        },
        {
            "incidentID": 1257956,
            "mitigationID": 48918344,
            "incidentState": "False Positive",
            "remediatedTime": null,
            "mailboxId": 1305171,
            "mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
            "subject": "Testing",
            "senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
            "senderIP": "2603:10a6:20b:aa::19",
            "reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
            "resolution": "False Positive",
            "spfResult": "fail"
        },
        {
            "incidentID": 1264413,
            "mitigationID": 49068886,
            "incidentState": "Attack",
            "remediatedTime": "2020-12-09T16:22:43.096Z",
            "mailboxId": 1960971,
            "mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
            "subject": "[EMULATED - DANGEROUS - 8] Change Of Account In Payroll",
            "senderEmail": "",
            "senderIP": "52.37.31.151",
            "reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
            "resolution": "Phishing Attack",
            "spfResult": "pass"
        },
        {
            "incidentID": 1264413,
            "mitigationID": 49066007,
            "incidentState": "Attack",
            "remediatedTime": "2020-12-09T16:05:35.650Z",
            "mailboxId": 1960971,
            "mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
            "subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
            "senderEmail": "",
            "senderIP": "52.37.31.151",
            "reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
            "resolution": "Phishing Attack",
            "spfResult": "pass"
        },
        {
            "incidentID": 1264413,
            "mitigationID": 49064037,
            "incidentState": "Attack",
            "remediatedTime": "2020-12-09T15:49:05.567Z",
            "mailboxId": 1960971,
            "mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
            "subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
            "senderEmail": "",
            "senderIP": "52.37.31.151",
            "reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
            "resolution": "Phishing Attack",
            "spfResult": "pass"
        }
    ],
    "messages": []
}
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit, affichez "Successfully fetched details of incident mitigations per mailbox for the +{period}"

Si l'action comporte plusieurs itérations (plusieurs pages), affichez "Continuing...fetching incident mitigations per mailbox, page (current_page_number) out of (total_page_number) "

L'action doit échouer et arrêter l'exécution d'un playbook :
if not successful, print "Error executing action "Get Mitigations Per Mailbox". Raison : {0}''.format(error.Stacktrace)

Général

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.