IRONSCALES
Versão da integração: 3.0
Exemplos de utilização
- Classifique o incidente
- Detalhes do incidente
- Detalhes da mitigação de roubo de identidade
- Detalhes dos incidentes de mitigação
- Mitigações por caixa de correio
- Configure a integração do AWS GuardDuty no Google Security Operations
Configure a integração do IRONSCALES no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://members.ironscales.com/ | Sim | Raiz da API da instância do IRONSCALES. |
| Chave da API | String | N/A | Sim | Chave da API do IRONSCALES. |
| ID da empresa | String | N/A | Sim | Especifique o ID da empresa a usar no IRONSCALES. |
| É parceiro | Caixa de verificação | Desmarcado | Sim | Especifique se o ID da empresa acima também é um ID de parceiro. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor IRONSCALES é válido. |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao IRONSCALES com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: A ação deve falhar e parar a execução de um playbook: |
Geral |
Classifique o incidente
Descrição
Altere a classificação de incidentes
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | Valores de DDL | É obrigatório | Descrição |
|---|---|---|---|---|---|
| IDs de incidentes | String | N/A | Sim | Especifique os IDs dos incidentes a classificar. | |
| Nova classificação | LDD | Atacar | Atacar Falso positivo Spam |
Sim | Especifique a nova classificação para estes incidentes. Nota: para a classificação de ataque de phishing, introduza "Attack"; para falso positivo, introduza "False Positive"; para spam, introduza "Spam". |
| Classificar email do utilizador | Utilizador | N/A | Sim | Especifique o utilizador que está a fazer a classificação indicando o respetivo endereço de email. Nota: este endereço de email deve ser reconhecido pelo IRONSCALES. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Para IDs de incidentes encontrados: imprima "Incidentes classificados com êxito como {new_classification}. IDs dos incidentes: {Ids_list}."
A ação deve falhar e parar a execução de um manual de procedimentos: |
Geral |
Obtenha detalhes do incidente
Descrição
Obtenha detalhes completos de incidentes do IRONSCALES
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs de incidentes | String | N/A | Sim | Especifique os IDs dos incidentes para os quais quer obter detalhes. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"company_id": "3911",
"company_name": "SIEMPLIFY",
"incident_id": "753277",
"classification": "Attack",
"first_reported_by": "בונד ג'יימס",
"first_reported_date": "2020-06-17T15:49:56.755Z",
"affected_mailbox_count": 2,
"sender_reputation": "medium",
"banner_displayed": null,
"sender_email": "demo@ironscales.com",
"reply_to": null,
"spf_result": null,
"sender_is_internal": false,
"themis_proba": null,
"themis_verdict": "Insufficient Data",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"federation": {
"companies_affected": 2,
"companies_marked_phishing": 2,
"companies_marked_spam": 0,
"companies_marked_fp": 0,
"companies_unclassified": 0,
"phishing_ratio": 1.0
},
"reports": [
{
"name": "בונד ג'יימס",
"email": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "FW: Carey Hart",
"sender_email": "demo@ironscales.com",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"headers": [
{
"name": "Received",
"value": "from DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:20b:b2::22) by AM6PR05MB5957.eurprd05.prod.outlook.com with HTTPS via AM6PR08CA0010.EURPRD08.PROD.OUTLOOK.COM; Wed, 17 Jun 2020 15:44:55 +0000"
},
{
"name": "Received",
"value": "from AM5PR0601CA0039.eurprd06.prod.outlook.com (2603:10a6:203:68::25) by DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:10:86::14) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3088.18; Wed, 17 Jun 2020 15:44:54 +0000"
}
]
}
],
"links": [
{
"url": "https://en.wikipedia.org/wiki/Carey_Hart#cite_note-Gale-1",
"name": "[1]"
},
{
"url": "https://en.wikipedia.org/wiki/Americans",
"name": "American"
}
],
"attachments": []
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Para IDs de incidentes bem-sucedidos: imprima "Successfully fetched incidents details from IRONSCALES. incident IDs: {IDS_list}."
A ação deve falhar e parar a execução de um manual de procedimentos: |
Geral |
Get Mitigation Impersonation Details
Descrição
Receba os incidentes de roubo de identidade da empresa mais recentes.
Os resultados estão limitados aos 1000 incidentes mais recentes. Se a quantidade de incidentes no período exceder este limite, é apresentada uma mensagem.
Tenha em atenção que os IDs devolvidos aqui são de tentativas de roubo de identidade e não de incidentes nem relatórios, pelo que a pesquisa destes IDs noutros pontos finais não devolve os incidentes esperados
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Valores de DDL | Descrição |
|---|---|---|---|---|---|
| Período | LDD | Últimas 24 horas | Sim | Últimas 24 horas Últimos 7 dias Últimos 90 dias Últimos 180 dias Últimos 360 dias Ano até à data atual Sempre |
Especifique o período para o qual quer obter detalhes de mitigação de roubo de identidade. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"page": null,
"total_pages": null,
"incidents": [
{
"incidentID": 100694130,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:17.592631+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100694131,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:18.024769+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100696686,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:25:43.216123+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "n",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
}
],
"messages": []
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um manual de soluções: |
Geral |
Obtenha detalhes de mitigação de incidentes
Descrição
Obtenha os detalhes de mitigação mais recentes da empresa.
Os resultados estão limitados aos 1000 incidentes mais recentes. Se a quantidade de incidentes no período exceder este limite, é apresentada uma mensagem.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Valores de DDL | Descrição |
|---|---|---|---|---|---|
| Período | LDD | Últimas 24 horas | Sim | Últimas 24 horas Últimos 7 dias Últimos 90 dias Últimos 180 dias Últimos 360 dias Ano até à data atual Sempre |
Especifique o período para o qual quer obter detalhes de mitigação de incidentes. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"messages": [],
"incidents": [
{
"incidentID": 1251713,
"incidentState": 2,
"remediatedTime": "2020-12-07T15:22:38.798292+00:00",
"affectedMailboxCount": 6,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "False Positive",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1251683,
"incidentState": 7,
"remediatedTime": "2020-12-07T15:20:18.546309+00:00",
"affectedMailboxCount": 2,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "Spam",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1257956,
"incidentState": 1,
"remediatedTime": "2020-12-08T13:40:50.730184+00:00",
"affectedMailboxCount": 4,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"threatType": "Unclassified",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: A ação deve falhar e parar a execução de um playbook: |
Geral |
Obtenha mitigações por caixa de correio
Descrição
Obtenha detalhes das mitigações por caixa de correio.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Valores de DDL | Descrição |
|---|---|---|---|---|---|
| IDs de incidentes | CSV | N/A | Sim | - | Forneça uma lista separada por vírgulas de IDs de incidentes para pesquisar. |
| Período | LDD | Desde sempre | Não | Últimas 24 horas Últimos 7 dias Últimos 90 dias Últimos 180 dias Últimos 360 dias Ano até à data atual Sempre |
Especifique o período para o qual quer receber mitigações por caixa de correio. |
| Número máximo de páginas a obter | Número inteiro | 1 | Sim | - | Especifique o número máximo de páginas que quer obter. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"page": 1,
"total_pages": 1,
"mitigations": [
{
"incidentID": 1257956,
"mitigationID": 48919694,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48919695,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305177,
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918977,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918344,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1264413,
"mitigationID": 49068886,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:22:43.096Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 8] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49066007,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:05:35.650Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49064037,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T15:49:05.567Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
}
],
"messages": []
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: if successful: print "Successfully fetched details of incident mitigations per mailbox for the +{period}" A ação deve falhar e parar a execução de um manual de procedimentos: |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.