IRONSCALES
Versione integrazione: 3.0
Casi d'uso
- Classifica incidente
- Dettagli incidente
- Dettagli sulla mitigazione del furto d'identità
- Dettagli sugli incidenti di mitigazione
- Mitigazioni per cassetta postale
- Configura l'integrazione di AWS GuardDuty su Google Security Operations
Configurare l'integrazione di IRONSCALES in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://members.ironscales.com/ | Sì | Radice API dell'istanza IRONSCALES. |
| Token API | Stringa | N/D | Sì | Token API di IRONSCALES. |
| ID azienda | Stringa | N/D | Sì | Specifica l'ID azienda da utilizzare in IRONSCALES. |
| È un partner | Casella di controllo | Deselezionata | Sì | Specifica se l'ID azienda indicato sopra è anche un ID partner. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server IRONSCALES sia valido. |
Azioni
Dindin
Descrizione
Verifica la connettività a IRONSCALES con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
Classifica incidente
Descrizione
Modificare la classificazione degli incidenti
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | Valori DDL | È obbligatorio | Descrizione |
|---|---|---|---|---|---|
| ID incidenti | Stringa | N/D | Sì | Specifica gli ID degli incidenti da classificare. | |
| Nuova classificazione | DDL | Attacco | Attacco Falso positivo Spam |
Sì | Specifica la nuova classificazione per questi incidenti. Nota: per la classificazione Attacco di phishing, inserisci "Attacco", per Falso positivo, inserisci "Falso positivo" e per Spam, inserisci "Spam". |
| Classificazione dell'email dell'utente | Utente | N/D | Sì | Specifica l'utente che esegue la classificazione fornendo il suo indirizzo email. Nota: questo indirizzo email deve essere riconosciuto da IRONSCALES. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Per gli ID incidente trovati: stampa "Classificazione degli incidenti in {new_classification} riuscita. ID incidenti: {Ids_list}."
L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
Recupera dettagli incidente
Descrizione
Visualizzare i dettagli completi dell'incidente da IRONSCALES
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID incidenti | Stringa | N/D | Sì | Specifica gli ID degli incidenti per cui recuperare i dettagli. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"company_id": "3911",
"company_name": "SIEMPLIFY",
"incident_id": "753277",
"classification": "Attack",
"first_reported_by": "בונד ג'יימס",
"first_reported_date": "2020-06-17T15:49:56.755Z",
"affected_mailbox_count": 2,
"sender_reputation": "medium",
"banner_displayed": null,
"sender_email": "demo@ironscales.com",
"reply_to": null,
"spf_result": null,
"sender_is_internal": false,
"themis_proba": null,
"themis_verdict": "Insufficient Data",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"federation": {
"companies_affected": 2,
"companies_marked_phishing": 2,
"companies_marked_spam": 0,
"companies_marked_fp": 0,
"companies_unclassified": 0,
"phishing_ratio": 1.0
},
"reports": [
{
"name": "בונד ג'יימס",
"email": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "FW: Carey Hart",
"sender_email": "demo@ironscales.com",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"headers": [
{
"name": "Received",
"value": "from DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:20b:b2::22) by AM6PR05MB5957.eurprd05.prod.outlook.com with HTTPS via AM6PR08CA0010.EURPRD08.PROD.OUTLOOK.COM; Wed, 17 Jun 2020 15:44:55 +0000"
},
{
"name": "Received",
"value": "from AM5PR0601CA0039.eurprd06.prod.outlook.com (2603:10a6:203:68::25) by DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:10:86::14) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3088.18; Wed, 17 Jun 2020 15:44:54 +0000"
}
]
}
],
"links": [
{
"url": "https://en.wikipedia.org/wiki/Carey_Hart#cite_note-Gale-1",
"name": "[1]"
},
{
"url": "https://en.wikipedia.org/wiki/Americans",
"name": "American"
}
],
"attachments": []
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Per gli ID incidente riusciti: stampa "Successfully fetched incidents details from IRONSCALES. incident IDs: {IDS_list}." (Dettagli degli incidenti recuperati correttamente da IRONSCALES. ID incidente: {IDS_list}.)
L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
Recuperare i dettagli di rappresentazione della mitigazione
Descrizione
Ricevi gli ultimi incidenti di rappresentazione di azienda.
I risultati sono limitati agli ultimi 1000 incidenti. Se il numero di incidenti nel periodo supera questo limite, verrà visualizzato un messaggio.
Tieni presente che gli ID restituiti qui si riferiscono a tentativi di impersonificazione, non a incidenti o report, pertanto la ricerca di questi ID in altri endpoint non restituirà gli incidenti previsti.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Valori DDL | Descrizione |
|---|---|---|---|---|---|
| Periodo | DDL | Ultime 24 ore | Sì | Ultime 24 ore Ultimi 7 giorni Ultimi 90 giorni Ultimi 180 giorni Ultimi 360 giorni Da inizio anno a oggi Sempre |
Specifica il periodo di tempo per il quale vuoi ottenere i dettagli della mitigazione dell'imitazione. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"page": null,
"total_pages": null,
"incidents": [
{
"incidentID": 100694130,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:17.592631+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100694131,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:18.024769+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100696686,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:25:43.216123+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "n",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
}
],
"messages": []
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: |
Generale |
Recuperare i dettagli della mitigazione dell'incidente
Descrizione
Ricevi gli ultimi dettagli sulla mitigazione dell'azienda.
I risultati sono limitati agli ultimi 1000 incidenti. Se il numero di incidenti nel periodo supera questo limite, verrà visualizzato un messaggio.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Valori DDL | Descrizione |
|---|---|---|---|---|---|
| Periodo | DDL | Ultime 24 ore | Sì | Ultime 24 ore Ultimi 7 giorni Ultimi 90 giorni Ultimi 180 giorni Ultimi 360 giorni Da inizio anno a oggi Sempre |
Specifica il periodo di tempo per il quale vuoi ottenere i dettagli di mitigazione dell'incidente. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"messages": [],
"incidents": [
{
"incidentID": 1251713,
"incidentState": 2,
"remediatedTime": "2020-12-07T15:22:38.798292+00:00",
"affectedMailboxCount": 6,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "False Positive",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1251683,
"incidentState": 7,
"remediatedTime": "2020-12-07T15:20:18.546309+00:00",
"affectedMailboxCount": 2,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "Spam",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1257956,
"incidentState": 1,
"remediatedTime": "2020-12-08T13:40:50.730184+00:00",
"affectedMailboxCount": 4,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"threatType": "Unclassified",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
Get Mitigations Per Mailbox
Descrizione
Visualizza i dettagli delle mitigazioni per casella postale.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Valori DDL | Descrizione |
|---|---|---|---|---|---|
| ID incidente | CSV | N/D | Sì | - | Fornisci un elenco separato da virgole di ID incidente da cercare. |
| Periodo | DDL | Sempre | No | Ultime 24 ore Ultimi 7 giorni Ultimi 90 giorni Ultimi 180 giorni Ultimi 360 giorni Da inizio anno a oggi Sempre |
Specifica il periodo di tempo per il quale vuoi ottenere le mitigazioni per casella postale. |
| Numero massimo di pagine da recuperare | Numero intero | 1 | Sì | - | Specifica il numero massimo di pagine che vuoi recuperare. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"page": 1,
"total_pages": 1,
"mitigations": [
{
"incidentID": 1257956,
"mitigationID": 48919694,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48919695,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305177,
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918977,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918344,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1264413,
"mitigationID": 49068886,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:22:43.096Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 8] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49066007,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:05:35.650Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49064037,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T15:49:05.567Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
}
],
"messages": []
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine:stampa "Successfully fetched details of incident mitigations per mailbox for the +{period}" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.