IRONSCALES
集成版本:3.0
使用场景
- 对突发事件进行分类
- 突发事件详细信息
- 缓解冒充问题详情
- 缓解突发事件详情
- 每个邮箱的缓解措施
- 在 Google Security Operations 上配置 AWS GuardDuty 集成
在 Google SecOps 中配置 IRONSCALES 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://members.ironscales.com/ | 是 | IRONSCALES 实例的 API 根目录。 |
| API 令牌 | 字符串 | 不适用 | 是 | IRONSCALES 的 API 令牌。 |
| 公司 ID | 字符串 | 不适用 | 是 | 指定要在 IRONSCALES 中使用的公司 ID。 |
| 是合作伙伴 | 复选框 | 尚未核查 | 是 | 指定上述公司 ID 是否也是合作伙伴 ID。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果启用,则验证与 IRONSCALES 服务器的连接所用的 SSL 证书是否有效。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中集成配置页面上提供的参数测试与 IRONSCALES 的连接。
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 操作应失败并停止 playbook 执行: |
常规 |
对突发事件进行分类
说明
更改突发事件分类
参数
| 参数显示名称 | 类型 | 默认值 | DDL 值 | 是必填字段 | 说明 |
|---|---|---|---|---|---|
| 突发事件 ID | 字符串 | 不适用 | 是 | 指定要分类的突发事件的 ID。 | |
| 新分类 | DDL | 攻击 | 攻击 误报 垃圾内容 |
是 | 为这些突发事件指定新的分类。注意:对于钓鱼式攻击分类,请输入“攻击”;对于假正例,请输入“假正例”;对于垃圾内容,请输入“垃圾内容”。 |
| 对用户电子邮件进行分类 | 用户 | 不适用 | 是 | 通过提供用户的电子邮件地址来指定执行分类的用户。注意:此电子邮件地址应可被 IRONSCALES 识别。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 对于找到的突发事件 ID:打印“Successfully classified incidents to {new_classification}. 事件 ID:{Ids_list}。”
操作应失败并停止 playbook 执行: |
常规 |
获取突发事件详情
说明
从 IRONSCALES 获取完整的事件详细信息
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 突发事件 ID | 字符串 | 不适用 | 是 | 指定要提取详细信息的突发事件的 ID。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"company_id": "3911",
"company_name": "SIEMPLIFY",
"incident_id": "753277",
"classification": "Attack",
"first_reported_by": "בונד ג'יימס",
"first_reported_date": "2020-06-17T15:49:56.755Z",
"affected_mailbox_count": 2,
"sender_reputation": "medium",
"banner_displayed": null,
"sender_email": "demo@ironscales.com",
"reply_to": null,
"spf_result": null,
"sender_is_internal": false,
"themis_proba": null,
"themis_verdict": "Insufficient Data",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"federation": {
"companies_affected": 2,
"companies_marked_phishing": 2,
"companies_marked_spam": 0,
"companies_marked_fp": 0,
"companies_unclassified": 0,
"phishing_ratio": 1.0
},
"reports": [
{
"name": "בונד ג'יימס",
"email": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "FW: Carey Hart",
"sender_email": "demo@ironscales.com",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"headers": [
{
"name": "Received",
"value": "from DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:20b:b2::22) by AM6PR05MB5957.eurprd05.prod.outlook.com with HTTPS via AM6PR08CA0010.EURPRD08.PROD.OUTLOOK.COM; Wed, 17 Jun 2020 15:44:55 +0000"
},
{
"name": "Received",
"value": "from AM5PR0601CA0039.eurprd06.prod.outlook.com (2603:10a6:203:68::25) by DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:10:86::14) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3088.18; Wed, 17 Jun 2020 15:44:54 +0000"
}
]
}
],
"links": [
{
"url": "https://en.wikipedia.org/wiki/Carey_Hart#cite_note-Gale-1",
"name": "[1]"
},
{
"url": "https://en.wikipedia.org/wiki/Americans",
"name": "American"
}
],
"attachments": []
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 对于成功的突发事件 ID:打印“Successfully fetched incidents details from IRONSCALES. incident IDs: {IDS_list}.”(已成功从 IRONSCALES 获取突发事件详情。突发事件 ID:{IDS_list}。)
如果操作失败,应停止 playbook 执行: |
常规 |
获取缓解措施模拟详细信息
说明
获取最新的公司冒充事件。
结果仅限为最新的 1000 起突发事件,如果相应时间段内的突发事件数量超过此限制,系统会显示一条消息。
请注意,此处返回的 ID 是冒充尝试的 ID,而不是事件或报告的 ID,因此在其他端点中搜索这些 ID 不会返回预期的事件
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | DDL 值 | 说明 |
|---|---|---|---|---|---|
| 时段 | DDL | 过去 24 小时 | 是 | 过去 24 小时 过去 7 天 过去 90 天 过去 180 天 过去 360 天 年初至今 所有时间 |
指定您要获取哪个时间段的冒充缓解措施详细信息。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"page": null,
"total_pages": null,
"incidents": [
{
"incidentID": 100694130,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:17.592631+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100694131,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:18.024769+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100696686,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:25:43.216123+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "n",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
}
],
"messages": []
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: |
常规 |
获取突发事件缓解详细信息
说明
获取最新的公司缓解措施详情。
结果仅限为最新的 1000 起突发事件,如果相应时间段内的突发事件数量超过此限制,系统会显示一条消息。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | DDL 值 | 说明 |
|---|---|---|---|---|---|
| 时段 | DDL | 过去 24 小时 | 是 | 过去 24 小时 过去 7 天 过去 90 天 过去 180 天 过去 360 天 年初至今 所有时间 |
指定您要获取突发事件缓解详细信息的时间段。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"messages": [],
"incidents": [
{
"incidentID": 1251713,
"incidentState": 2,
"remediatedTime": "2020-12-07T15:22:38.798292+00:00",
"affectedMailboxCount": 6,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "False Positive",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1251683,
"incidentState": 7,
"remediatedTime": "2020-12-07T15:20:18.546309+00:00",
"affectedMailboxCount": 2,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "Spam",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1257956,
"incidentState": 1,
"remediatedTime": "2020-12-08T13:40:50.730184+00:00",
"affectedMailboxCount": 4,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"threatType": "Unclassified",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 操作应失败并停止 playbook 执行: |
常规 |
获取每个邮箱的缓解措施
说明
获取每个邮箱的缓解措施的详细信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | DDL 值 | 说明 |
|---|---|---|---|---|---|
| 事件 ID | CSV | 不适用 | 是 | - | 提供以英文逗号分隔的要搜索的突发事件 ID 列表。 |
| 时段 | DDL | 时间不限 | 否 | 过去 24 小时 过去 7 天 过去 90 天 过去 180 天 过去 360 天 年初至今 所有时间 |
指定您希望获取每个邮箱的缓解措施的时间段。 |
| 要提取的最大网页数 | 整数 | 1 | 是 | - | 指定要提取的最大网页数。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"page": 1,
"total_pages": 1,
"mitigations": [
{
"incidentID": 1257956,
"mitigationID": 48919694,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48919695,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305177,
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918977,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918344,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1264413,
"mitigationID": 49068886,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:22:43.096Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 8] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49066007,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:05:35.650Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49064037,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T15:49:05.567Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
}
],
"messages": []
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:打印“Successfully fetched details of incident mitigations per mailbox for the +{period}” 操作应失败并停止 playbook 执行: |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。