IRONSCALES
Versão da integração: 3.0
Casos de uso
- Classificar incidente
- Detalhes do incidente
- Detalhes da mitigação de representação
- Detalhes dos incidentes de mitigação
- Mitigações por caixa de correio
- Configurar a integração do AWS GuardDuty no Google Security Operations
Configurar a integração do IRONSCALES no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://members.ironscales.com/ | Sim | Raiz da API da instância do IRONSCALES. |
| Token da API | String | N/A | Sim | Token de API do IRONSCALES. |
| ID da empresa | String | N/A | Sim | Especifique o ID da empresa a ser usado no IRONSCALES. |
| É parceiro | Caixa de seleção | Desmarcado | Sim | Especifique se o ID da empresa acima também é um ID de parceiro. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor IRONSCALES é válido. |
Ações
Ping
Descrição
Teste a conectividade com o IRONSCALES usando os parâmetros fornecidos na página de configuração da integração, na guia "Marketplace" do Google Security Operations.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: A ação precisa falhar e interromper a execução de um playbook: |
Geral |
Classificar incidente
Descrição
Mudar a classificação de incidentes
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | Valores de DDL | É obrigatório | Descrição |
|---|---|---|---|---|---|
| IDs de incidentes | String | N/A | Sim | Especifique os IDs dos incidentes a serem classificados. | |
| Nova classificação | DDL | Atacar | Atacar Falso positivo Spam |
Sim | Especifique a nova classificação para esses incidentes. Observação: para classificação de ataque de phishing, insira "Attack"; para falso positivo, "False Positive"; e para spam, "Spam". |
| Classificação do e-mail do usuário | Usuário | N/A | Sim | Especifique qual usuário está fazendo a classificação fornecendo o endereço de e-mail dele. Observação: esse endereço de e-mail precisa ser reconhecido pelo IRONSCALES. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Para os IDs de incidentes encontrados:imprima "Os incidentes foram classificados como {new_classification}. IDs dos incidentes: {Ids_list}."
A ação vai falhar e interromper a execução de um playbook: |
Geral |
Receber detalhes do incidente
Descrição
Receber todos os detalhes do incidente da IRONSCALES
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs de incidentes | String | N/A | Sim | Especifique os IDs dos incidentes para buscar detalhes. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"company_id": "3911",
"company_name": "SIEMPLIFY",
"incident_id": "753277",
"classification": "Attack",
"first_reported_by": "בונד ג'יימס",
"first_reported_date": "2020-06-17T15:49:56.755Z",
"affected_mailbox_count": 2,
"sender_reputation": "medium",
"banner_displayed": null,
"sender_email": "demo@ironscales.com",
"reply_to": null,
"spf_result": null,
"sender_is_internal": false,
"themis_proba": null,
"themis_verdict": "Insufficient Data",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"federation": {
"companies_affected": 2,
"companies_marked_phishing": 2,
"companies_marked_spam": 0,
"companies_marked_fp": 0,
"companies_unclassified": 0,
"phishing_ratio": 1.0
},
"reports": [
{
"name": "בונד ג'יימס",
"email": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "FW: Carey Hart",
"sender_email": "demo@ironscales.com",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"headers": [
{
"name": "Received",
"value": "from DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:20b:b2::22) by AM6PR05MB5957.eurprd05.prod.outlook.com with HTTPS via AM6PR08CA0010.EURPRD08.PROD.OUTLOOK.COM; Wed, 17 Jun 2020 15:44:55 +0000"
},
{
"name": "Received",
"value": "from AM5PR0601CA0039.eurprd06.prod.outlook.com (2603:10a6:203:68::25) by DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:10:86::14) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3088.18; Wed, 17 Jun 2020 15:44:54 +0000"
}
]
}
],
"links": [
{
"url": "https://en.wikipedia.org/wiki/Carey_Hart#cite_note-Gale-1",
"name": "[1]"
},
{
"url": "https://en.wikipedia.org/wiki/Americans",
"name": "American"
}
],
"attachments": []
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Para IDs de incidentes bem-sucedidos:imprima "Os detalhes dos incidentes foram buscados com sucesso no IRONSCALES. IDs de incidentes: {IDS_list}".
A ação precisa falhar e interromper a execução de um playbook: |
Geral |
Receber detalhes da representação de mitigação
Descrição
Receba os incidentes mais recentes de representação indevida de empresa.
Os resultados são limitados aos 1.000 incidentes mais recentes. Uma mensagem vai aparecer se a quantidade de incidentes no período exceder esse limite.
Os IDs retornados aqui são de tentativas de representação, não de incidentes ou denúncias. Portanto, pesquisar esses IDs em outros endpoints não vai retornar os incidentes esperados.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Valores de DDL | Descrição |
|---|---|---|---|---|---|
| Período | DDL | Últimas 24 horas | Sim | Últimas 24 horas Últimos 7 dias Últimos 90 dias Últimos 180 dias Últimos 360 dias Acumulado no ano atual Todo o período |
Especifique o período em que você quer receber detalhes sobre a mitigação da representação. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"page": null,
"total_pages": null,
"incidents": [
{
"incidentID": 100694130,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:17.592631+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100694131,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:18.024769+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100696686,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:25:43.216123+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "n",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
}
],
"messages": []
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: |
Geral |
Receber detalhes da redução de incidentes
Descrição
Receba os detalhes mais recentes sobre a mitigação da empresa.
Os resultados são limitados aos 1.000 incidentes mais recentes. Uma mensagem vai aparecer se a quantidade de incidentes no período exceder esse limite.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Valores de DDL | Descrição |
|---|---|---|---|---|---|
| Período | DDL | Últimas 24 horas | Sim | Últimas 24 horas Últimos 7 dias Últimos 90 dias Últimos 180 dias Últimos 360 dias Acumulado no ano atual Todo o período |
Especifique o período em que você quer receber detalhes sobre a mitigação de incidentes. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"messages": [],
"incidents": [
{
"incidentID": 1251713,
"incidentState": 2,
"remediatedTime": "2020-12-07T15:22:38.798292+00:00",
"affectedMailboxCount": 6,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "False Positive",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1251683,
"incidentState": 7,
"remediatedTime": "2020-12-07T15:20:18.546309+00:00",
"affectedMailboxCount": 2,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "Spam",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1257956,
"incidentState": 1,
"remediatedTime": "2020-12-08T13:40:50.730184+00:00",
"affectedMailboxCount": 4,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"threatType": "Unclassified",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: A ação precisa falhar e interromper a execução de um playbook: |
Geral |
Get Mitigations Per Mailbox
Descrição
Receba detalhes sobre mitigações por caixa de correio.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Valores de DDL | Descrição |
|---|---|---|---|---|---|
| IDs de incidentes | CSV | N/A | Sim | - | Insira uma lista separada por vírgulas dos IDs de incidentes que você quer pesquisar. |
| Período | DDL | Todo o período | Não | Últimas 24 horas Últimos 7 dias Últimos 90 dias Últimos 180 dias Últimos 360 dias Acumulado no ano atual Todo o período |
Especifique o período em que você quer receber mitigações por caixa de correio. |
| Máximo de páginas a serem buscadas | Número inteiro | 1 | Sim | - | Especifique o número máximo de páginas que você quer buscar. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{
"page": 1,
"total_pages": 1,
"mitigations": [
{
"incidentID": 1257956,
"mitigationID": 48919694,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48919695,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305177,
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918977,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918344,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1264413,
"mitigationID": 49068886,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:22:43.096Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 8] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49066007,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:05:35.650Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49064037,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T15:49:05.567Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
}
],
"messages": []
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido:imprima "Detalhes das mitigações de incidentes por caixa de correio para o período +{period} foram buscados com sucesso" A ação precisa falhar e interromper a execução de um playbook: |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.