IRONSCALES
整合版本:3.0
應用實例
- 分類事件
- 事件詳細資料
- 緩解冒用問題的詳細資料
- 緩解事件詳細資料
- 每個信箱的因應措施
- 在 Google Security Operations 中設定 AWS GuardDuty 整合功能
在 Google SecOps 中設定 IRONSCALES 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://members.ironscales.com/ | 是 | IRONSCALES 執行個體的 API 根目錄。 |
| API 權杖 | 字串 | 不適用 | 是 | IRONSCALES 的 API 權杖。 |
| 公司 ID | 字串 | 不適用 | 是 | 指定要在 IRONSCALES 中使用的公司 ID。 |
| 為合作夥伴 | 核取方塊 | 已取消勾選 | 是 | 指定上述公司 ID 是否也為合作夥伴 ID。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用,系統會驗證連線至 IRONSCALES 伺服器的 SSL 憑證是否有效。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁的整合設定頁面中提供的參數,測試與 IRONSCALES 的連線。
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止劇本執行: 動作應失敗並停止執行應對手冊: |
一般 |
分類事件
說明
變更事件分類
參數
| 參數顯示名稱 | 類型 | 預設值 | DDL 值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 指定要分類的事件 ID。 | |
| 新分類 | DDL | 攻擊 | 攻擊 偽陽性 垃圾內容 |
是 | 為這些事件指定新的分類。注意:如要將郵件分類為網路釣魚攻擊,請輸入「Attack」;如要分類為誤判,請輸入「False Positive」;如要分類為垃圾內容,請輸入「Spam」。 |
| 分類使用者電子郵件 | 使用者 | 不適用 | 是 | 請提供郵件地址,指定執行分類的使用者。注意:IRONSCALES 應可辨識這個電子郵件地址。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 針對找到的事件 ID:列印「Successfully classified incidents to {new_classification}。事件 ID:{Ids_list}。」
動作應會失敗並停止劇本執行: |
一般 |
取得事件詳細資料
說明
從 IRONSCALES 取得完整事件詳細資料
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 指定要擷取詳細資料的事件 ID。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"company_id": "3911",
"company_name": "SIEMPLIFY",
"incident_id": "753277",
"classification": "Attack",
"first_reported_by": "בונד ג'יימס",
"first_reported_date": "2020-06-17T15:49:56.755Z",
"affected_mailbox_count": 2,
"sender_reputation": "medium",
"banner_displayed": null,
"sender_email": "demo@ironscales.com",
"reply_to": null,
"spf_result": null,
"sender_is_internal": false,
"themis_proba": null,
"themis_verdict": "Insufficient Data",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"federation": {
"companies_affected": 2,
"companies_marked_phishing": 2,
"companies_marked_spam": 0,
"companies_marked_fp": 0,
"companies_unclassified": 0,
"phishing_ratio": 1.0
},
"reports": [
{
"name": "בונד ג'יימס",
"email": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "FW: Carey Hart",
"sender_email": "demo@ironscales.com",
"mail_server": {
"host": "AM6PR02MB4184.eurprd02.prod.outlook.com",
"ip": "2603:10a6:20b:51::26"
},
"headers": [
{
"name": "Received",
"value": "from DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:20b:b2::22) by AM6PR05MB5957.eurprd05.prod.outlook.com with HTTPS via AM6PR08CA0010.EURPRD08.PROD.OUTLOOK.COM; Wed, 17 Jun 2020 15:44:55 +0000"
},
{
"name": "Received",
"value": "from AM5PR0601CA0039.eurprd06.prod.outlook.com (2603:10a6:203:68::25) by DB7PR05MB5787.eurprd05.prod.outlook.com (2603:10a6:10:86::14) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3088.18; Wed, 17 Jun 2020 15:44:54 +0000"
}
]
}
],
"links": [
{
"url": "https://en.wikipedia.org/wiki/Carey_Hart#cite_note-Gale-1",
"name": "[1]"
},
{
"url": "https://en.wikipedia.org/wiki/Americans",
"name": "American"
}
],
"attachments": []
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止執行應對手冊: 如為成功事件 ID:列印「Successfully fetched incidents details from IRONSCALES. incident IDs: {IDS_list}.」(已成功從 IRONSCALES 擷取事件詳細資料。事件 ID:{IDS_list}。)
動作應會失敗並停止執行劇本: |
一般 |
取得身分模擬緩解措施詳細資料
說明
取得最新的公司冒用事件。
結果僅限於最新的 1000 個事件,如果該期間的事件數量超過此限制,系統會顯示訊息。
請注意,這裡傳回的 ID 是模擬嘗試,而非事件或報表,因此在其他端點搜尋這些 ID 不會傳回預期的事件
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | DDL 值 | 說明 |
|---|---|---|---|---|---|
| 期間 | DDL | 過去 24 小時 | 是 | 過去 24 小時 最近 7 天 過去 90 天 過去 180 天 過去 360 天 今年迄今 不限時間 |
指定要取得模擬緩解詳細資料的時間範圍。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"page": null,
"total_pages": null,
"incidents": [
{
"incidentID": 100694130,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:17.592631+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100694131,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:18:18.024769+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "testing",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
},
{
"incidentID": 100696686,
"mailboxId": 1305177,
"remediatedTime": "2020-12-08T19:25:43.216123+00:00",
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderEmail": "jamesbondtest6@gmail.com",
"subject": "n",
"reportedBy": "IronSights",
"incidentType": "Display Name Impersonation",
"resolution": "",
"remediations": 1
}
],
"messages": []
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行: |
一般 |
取得事件緩解詳細資料
說明
取得最新的公司緩解措施詳細資料。
結果僅限於最新的 1000 個事件,如果該期間的事件數量超過此限制,系統會顯示訊息。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | DDL 值 | 說明 |
|---|---|---|---|---|---|
| 期間 | DDL | 過去 24 小時 | 是 | 過去 24 小時 最近 7 天 過去 90 天 過去 180 天 過去 360 天 今年迄今 不限時間 |
指定要取得事件緩解詳細資料的時間範圍。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"messages": [],
"incidents": [
{
"incidentID": 1251713,
"incidentState": 2,
"remediatedTime": "2020-12-07T15:22:38.798292+00:00",
"affectedMailboxCount": 6,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "False Positive",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1251683,
"incidentState": 7,
"remediatedTime": "2020-12-07T15:20:18.546309+00:00",
"affectedMailboxCount": 2,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "crazywiz7@abv.bg",
"subject": "Re: FW: Carey Hart",
"threatType": "Spam",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
},
{
"incidentID": 1257956,
"incidentState": 1,
"remediatedTime": "2020-12-08T13:40:50.730184+00:00",
"affectedMailboxCount": 4,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"threatType": "Unclassified",
"detectionType": "User Report",
"reportedBy": "AI-Powered Incident Response"
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行: 動作應會失敗並停止劇本執行: |
一般 |
取得每個信箱的緩解措施
說明
取得每個信箱的緩解措施詳細資料。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | DDL 值 | 說明 |
|---|---|---|---|---|---|
| 事件 ID | CSV | 不適用 | 是 | - | 提供以半形逗號分隔的事件 ID 清單,供系統搜尋。 |
| 期間 | DDL | 不限時間 | 否 | 過去 24 小時 最近 7 天 過去 90 天 過去 180 天 過去 360 天 今年迄今 不限時間 |
指定要取得每個信箱的緩解措施的時間範圍。 |
| 要擷取的網頁數量上限 | 整數 | 1 | 是 | - | 指定要擷取的頁面數量上限。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"page": 1,
"total_pages": 1,
"mitigations": [
{
"incidentID": 1257956,
"mitigationID": 48919694,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48919695,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305177,
"mailboxEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918977,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "bruce.wayne@abv.bg",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1257956,
"mitigationID": 48918344,
"incidentState": "False Positive",
"remediatedTime": null,
"mailboxId": 1305171,
"mailboxEmail": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"subject": "Testing",
"senderEmail": "james.bond@siemplifycyarx.onmicrosoft.com",
"senderIP": "2603:10a6:20b:aa::19",
"reportedBy": "bruce.wayne@siemplifycyarx.onmicrosoft.com",
"resolution": "False Positive",
"spfResult": "fail"
},
{
"incidentID": 1264413,
"mitigationID": 49068886,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:22:43.096Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 8] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49066007,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T16:05:35.650Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
},
{
"incidentID": 1264413,
"mitigationID": 49064037,
"incidentState": "Attack",
"remediatedTime": "2020-12-09T15:49:05.567Z",
"mailboxId": 1960971,
"mailboxEmail": "emulator@siemplifycyarx.onmicrosoft.com",
"subject": "[EMULATED - DANGEROUS - 2] Change Of Account In Payroll",
"senderEmail": "",
"senderIP": "52.37.31.151",
"reportedBy": "emulator@siemplifycyarx.onmicrosoft.com",
"resolution": "Phishing Attack",
"spfResult": "pass"
}
],
"messages": []
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:列印「Successfully fetched details of incident mitigations per mailbox for the +{period}」(已成功擷取每個信箱的事件緩解詳細資料,時間範圍為 +{period}) 動作應會失敗並停止執行劇本: |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。