IRONSCALES
Versi integrasi: 3.0
Kasus Penggunaan
- Mengklasifikasikan Insiden
- Detail Insiden
- Detail Mitigasi Peniruan Identitas
- Detail Insiden Mitigasi
- Mitigasi Per Kotak Surat
- Mengonfigurasi Integrasi AWS GuardDuty di Google Security Operations
Mengonfigurasi integrasi IRONSCALES di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://members.ironscales.com/ | Ya | Root API instance IRONSCALES. |
| Token API | String | T/A | Ya | Token API IRONSCALES. |
| ID Perusahaan | String | T/A | Ya | Tentukan ID perusahaan yang akan digunakan di IRONSCALES. |
| Adalah Partner | Kotak centang | Tidak dicentang | Ya | Tentukan apakah ID Perusahaan dari atas juga merupakan ID partner. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server IRONSCALES valid. |
Tindakan
Ping
Deskripsi
Uji konektivitas ke IRONSCALES dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Run On
Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Tindakan akan gagal dan menghentikan eksekusi playbook: |
Umum |
Mengklasifikasikan Insiden
Deskripsi
Mengubah klasifikasi insiden
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Nilai DDL | Wajib Diisi | Deskripsi |
|---|---|---|---|---|---|
| ID Insiden | String | T/A | Ya | Tentukan ID insiden yang akan diklasifikasikan. | |
| Klasifikasi Baru | DDL | Serangan | Serangan Positif palsu Spam |
Ya | Tentukan klasifikasi baru untuk insiden ini. Catatan: Untuk klasifikasi Serangan Phishing, masukkan "Serangan", untuk Positif palsu: "Positif Palsu", untuk spam: "Spam". |
| Mengklasifikasikan Email Pengguna | Pengguna | T/A | Ya | Tentukan pengguna yang melakukan klasifikasi dengan memberikan alamat emailnya. Catatan: Alamat email ini harus dikenali oleh IRONSCALES. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Untuk ID insiden yang ditemukan: cetak "Berhasil mengklasifikasikan insiden ke {new_classification}. ID Insiden: {Ids_list}."
Tindakan akan gagal dan menghentikan eksekusi playbook: |
Umum |
Mendapatkan Detail Insiden
Deskripsi
Mendapatkan detail insiden lengkap dari IRONSCALES
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID Insiden | String | T/A | Ya | Tentukan ID insiden untuk mengambil detailnya. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"company_id": "3911",
"company_name": "SIEMPLIFY",
"incident_id": "753277",
"classification": "Attack",
"first_reported_by": "בונד ג'יימס",
"first_reported_date": "2020-06-17T15:49:56.755Z",
"affected_mailbox_count": 2,
"sender_reputation": "medium",
"banner_displayed": null,
"sender_email": "demo@ironscales.com",
"reply_to": null,
"spf_result": null,
"sender_is_internal": false,
"themis_proba": null,
"themis_verdict": "Insufficient Data",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"federation": {
"companies_affected": 2,
"companies_marked_phishing": 2,
"companies_marked_spam": 0,
"companies_marked_fp": 0,
"companies_unclassified": 0,
"phishing_ratio": 1.0
},
"reports": [
{
"name": "בונד ג'יימס",
"email": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "FW: Carey Hart",
"sender_email": "demo@ironscales.com",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"headers": [
{
"name": "Received",
"value": "from DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:20b:b2::22) by AM6PR05MB5957.eurprd05.prod.outlook.com with HTTPS via AM6PR08CA0010.EURPRD08.PROD.OUTLOOK.COM; Wed, 17 Jun 2020 15:44:55 +0000"
},
{
"name": "Received",
"value": "from AM5PR0601CA0039.eurprd06.prod.outlook.com (2603:10a6:203:68::25) by DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:10:86::14) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3088.18; Wed, 17 Jun 2020 15:44:54 +0000"
}
]
}
],
"links": [
{
"url": "https://en.wikipedia.org/wiki/Carey_Hart#cite_note-Gale-1",
"name": "[1]"
},
{
"url": "https://en.wikipedia.org/wiki/Americans",
"name": "American"
}
],
"attachments": []
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Untuk ID insiden yang berhasil: cetak "Berhasil mengambil detail insiden dari IRONSCALES. ID insiden: {IDS_list}."
Tindakan akan gagal dan menghentikan eksekusi playbook: |
Umum |
Mendapatkan Detail Mitigasi Peniruan Identitas
Deskripsi
Mendapatkan insiden peniruan identitas perusahaan terbaru.
Hasil dibatasi hingga 1.000 insiden terbaru, pesan akan muncul menampilkan apakah jumlah insiden dalam jangka waktu tersebut melebihi batas ini.
Perhatikan bahwa ID yang ditampilkan di sini adalah upaya peniruan identitas, bukan insiden atau laporan, sehingga penelusuran ID ini di endpoint lain tidak akan menampilkan insiden yang diharapkan
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Nilai DDL | Deskripsi |
|---|---|---|---|---|---|
| Periode | DDL | 24 jam terakhir | Ya | 24 jam terakhir 7 hari terakhir 90 hari terakhir 180 hari terakhir 360 hari terakhir Tahun berjalan Sepanjang waktu |
Tentukan jangka waktu yang ingin Anda gunakan untuk mendapatkan detail mitigasi peniruan identitas. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"page": null,
"total_pages": null,
"incidents": [
{
"incidentID": 100694130,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:17.592631+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100694131,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:18.024769+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100696686,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:25:43.216123+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "n",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
}
],
"messages": []
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: |
Umum |
Mendapatkan Detail Mitigasi Insiden
Deskripsi
Dapatkan detail mitigasi perusahaan terbaru.
Hasil dibatasi hingga 1.000 insiden terbaru, pesan akan muncul menampilkan apakah jumlah insiden dalam jangka waktu tersebut melebihi batas ini.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Nilai DDL | Deskripsi |
|---|---|---|---|---|---|
| Periode | DDL | 24 jam terakhir | Ya | 24 jam terakhir 7 hari terakhir 90 hari terakhir 180 hari terakhir 360 hari terakhir Tahun berjalan Sepanjang waktu |
Tentukan jangka waktu yang ingin Anda dapatkan detail mitigasi insidennya. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"messages": [],
"incidents": [
{
"incidentID": 1251713,
"incidentState": 2,
"remediatedTime": "2020-12-07T15:22:38.798292+00:00",
"affectedMailboxCount": 6,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "False Positive",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1251683,
"incidentState": 7,
"remediatedTime": "2020-12-07T15:20:18.546309+00:00",
"affectedMailboxCount": 2,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "Spam",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1257956,
"incidentState": 1,
"remediatedTime": "2020-12-08T13:40:50.730184+00:00",
"affectedMailboxCount": 4,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"threatType": "Unclassified",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
}
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Tindakan akan gagal dan menghentikan eksekusi playbook: |
Umum |
Mendapatkan Mitigasi Per Kotak Surat
Deskripsi
Mendapatkan detail mitigasi per kotak surat.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Nilai DDL | Deskripsi |
|---|---|---|---|---|---|
| ID Insiden | CSV | T/A | Ya | - | Berikan daftar ID insiden yang dipisahkan koma untuk ditelusuri. |
| Periode | DDL | Sepanjang Waktu | Tidak | 24 jam terakhir 7 hari terakhir 90 hari terakhir 180 hari terakhir 360 hari terakhir Tahun berjalan Sepanjang waktu |
Tentukan jangka waktu yang Anda inginkan untuk mendapatkan mitigasi per kotak surat. |
| Jumlah Maksimum Halaman yang Akan Diambil | Bilangan bulat | 1 | Ya | - | Tentukan jumlah maksimum halaman yang ingin Anda ambil. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"page": 1,
"total_pages": 1,
"mitigations": [
{
"incidentID": 1257956,
"mitigationID": 48919694,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48919695,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305177,
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918977,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918344,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1264413,
"mitigationID": 49068886,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:22:43.096Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 8] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49066007,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:05:35.650Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49064037,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T15:49:05.567Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
}
],
"messages": []
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika berhasil: cetak "Successfully fetched details of incident mitigations per mailbox for the +{period}" Tindakan harus gagal dan menghentikan eksekusi playbook: |
Umum |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.