Proofpoint Threat Protection in Google SecOps einbinden

Integrationsversion: 1.0

In diesem Dokument wird beschrieben, wie Sie Proofpoint Threat Protection in Google Security Operations einbinden.

Anwendungsfälle

In der Google SecOps-Plattform unterstützt die Integration von Proofpoint Threat Protection die folgenden Anwendungsfälle:

  • Automatisierte Phishing-Abwehr: E-Mail-Adressen und Domains von schädlichen Absendern werden automatisch der Proofpoint-Blockierliste hinzugefügt, nachdem eine Phishing-Warnung bestätigt wurde. So wird verhindert, dass ähnliche Bedrohungen in der gesamten Organisation zugestellt werden.

  • Schnellere Reaktion auf Vorfälle: Aktualisieren Sie während einer aktiven Untersuchung schnell Einträge in der Blockierliste für IP-Adressen und Hostnamen, damit neu entdeckte Indikatoren für Kompromittierung (Indicators of Compromise, IOCs) sofort am E-Mail-Gateway neutralisiert werden.

  • Proaktiver Schutz vor Bedrohungen: Vorhandene Einträge in der Zulassungs- und Sperrliste werden proaktiv abgefragt und abgerufen, um sicherzustellen, dass die Sicherheitsrichtlinien auf dem neuesten Stand sind und mit aktuellen Informationen zu Bedrohungen übereinstimmen. So wird die Angriffsfläche der Organisation verringert.

  • Vereinfachte Richtlinienverwaltung: Die Verwaltung von E‑Mail-Sicherheitsrichtlinien wird vereinfacht, da Sie mit Playbooks vertrauenswürdige Absender basierend auf genehmigten Geschäftsanfragen in großen Mengen zur Zulassungsliste hinzufügen oder aus dieser entfernen können.

Hinweise

Bevor Sie die Integration in der Google SecOps-Plattform konfigurieren, müssen Sie Folgendes haben:

  • Anmeldedaten für die Proofpoint Threat Protection API: Sie benötigen eine gültige Client-ID und ein gültiges Client-Secret. Sie werden in der Proofpoint-Admin-Konsole generiert.

  • Cluster-ID: Ermitteln Sie die spezifische Cluster-ID, die Ihrer Proofpoint-Instanz zugeordnet ist. Diese ID ist erforderlich, um die richtigen Zulassungs- und Sperrlisten auszurichten.

  • Netzwerkverbindung: Prüfen Sie, ob die Google SecOps-Umgebung mit dem Proofpoint Threat Protection API-Stammendpunkt kommunizieren kann. Wenn Sie einen Proxy verwenden, müssen die Anmeldedaten und Adressen verfügbar sein.

Integrationsparameter

Für die Proofpoint Threat Protection-Integration sind die folgenden Parameter erforderlich:

Parameter Beschreibung
API Root

Erforderlich.

Die Basis-URL der Proofpoint Threat Protection-Instanz.
Client ID

Erforderlich.

Die Client-ID, die Ihren Anmeldedaten für die Proofpoint Threat Protection API zugeordnet ist.
Client Secret

Erforderlich.

Der Clientschlüssel, der mit Ihren Anmeldedaten für die Proofpoint Threat Protection API verknüpft ist.
Cluster ID

Erforderlich.

Die Cluster-ID, die Ihrer Proofpoint Threat Protection API-Instanz zugeordnet ist.
Verify SSL

Optional.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Proofpoint Threat Protection-Server validiert.

Standardmäßig aktiviert.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Aktion ausführen.

Eintrag zur Zulassungsliste hinzufügen

Verwenden Sie die Aktion Eintrag zur Liste der zugelassenen Absender hinzufügen, um einen Eintrag zur Liste der zugelassenen Absender von Proofpoint Threat Protection hinzuzufügen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Eintrag zur Zulassungsliste hinzufügen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Cluster ID

Optional.

Die Cluster-ID der Zulassungsliste.

Wenn kein Wert angegeben ist, wird die Cluster-ID aus der Integrationskonfiguration verwendet.
Allowlist Item

Erforderlich.

Das JSON-Objekt, das das hinzuzufügende Element der Zulassungsliste darstellt.

Der Standardwert ist:

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

Aktionsausgaben

Die Aktion Eintrag zur Zulassungsliste hinzufügen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle im Fall-Repository Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion Eintrag zur Zulassungsliste hinzufügen kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully added a new entry to the allow list.

 Die Aktion wurde ausgeführt.
Error ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Eintrag zur Zulassungsliste hinzufügen aufgeführt:

Name des Scriptergebnisses Wert
is_success true oder false

Eintrag zur Sperrliste hinzufügen

Mit der Aktion Eintrag zur Blockierliste hinzufügen können Sie einen Eintrag zur Blockierliste von Proofpoint Threat Protection hinzufügen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Eintrag zur Blockierliste hinzufügen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Cluster ID

Optional.

Die Cluster-ID der Blockierungsliste.

Wenn kein Wert angegeben ist, wird die Cluster-ID aus der Integrationskonfiguration verwendet.
Blocklist Item

Erforderlich.

Das JSON-Objekt, das das hinzuzufügende Element der Blockierliste darstellt.

Der Standardwert ist:

{
    "action": "add",
    "attribute": "",
    "operator": "",
    "value": "",
    "comment": ""
}

Aktionsausgaben

Die Aktion Eintrag zur Blockierungsliste hinzufügen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle im Fall-Repository Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion Eintrag zur Blockierliste hinzufügen kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully added new entry to the block list.

 Die Aktion wurde ausgeführt.
Error ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Eintrag zur Blockierliste hinzufügen verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

IOC zur Zulassungsliste hinzufügen

Mit der Aktion IOC zur Liste der zugelassenen Elemente hinzufügen können Sie bestimmte IOCs zur Liste der zugelassenen Elemente von Proofpoint Threat Protection hinzufügen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion IOC zur Zulassungsliste hinzufügen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Cluster ID

Optional.

Die Cluster-ID der Zulassungsliste.

Wenn kein Wert angegeben ist, wird die Cluster-ID aus der Integrationskonfiguration verwendet.
Recipient Email Address

Optional.

Eine durch Kommas getrennte Liste mit E‑Mail-Adressen von Empfängern, die der Zulassungsliste hinzugefügt werden sollen.
Sender Email Address

Optional.

Eine durch Kommas getrennte Liste der E‑Mail-Adressen von Absendern, die der Zulassungsliste hinzugefügt werden sollen.
Sender IP Address

Optional.

Eine durch Kommas getrennte Liste der IP-Adressen von Absendern, die auf die Zulassungsliste gesetzt werden sollen.
Sender Hostname

Optional.

Eine durch Kommas getrennte Liste der Hostnamen von Absendern, die der Zulassungsliste hinzugefügt werden sollen.
Sender HELO Domain Name

Optional.

Eine durch Kommas getrennte Liste von HELO-Domainnamen, die der Zulassungsliste hinzugefügt werden sollen.
Message Header From (Address Only)

Optional.

Eine durch Kommas getrennte Liste von „Message Header From“-Einträgen, die der Zulassungsliste hinzugefügt werden sollen.
Comment

Optional.

Eine Beschreibung oder Begründung für die Einträge auf der Zulassungsliste.

Aktionsausgaben

Die Aktion IOC zur Zulassungsliste hinzufügen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle im Fall-Repository Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion IOC zur Zulassungsliste hinzufügen kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully added new entries to the allow list.

 Die Aktion wurde ausgeführt.
Error ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IOC zur Zulassungsliste hinzufügen aufgeführt:

Name des Scriptergebnisses Wert
is_success true oder false

IOC zur Blockierungsliste hinzufügen

Mit der Aktion IOC zur Blockierliste hinzufügen können Sie bestimmte IOCs der Blockierliste von Proofpoint Threat Protection hinzufügen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion IOC zur Sperrliste hinzufügen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Cluster ID

Optional.

Die Cluster-ID der Blockierungsliste.

Wenn kein Wert angegeben ist, wird die Cluster-ID aus der Integrationskonfiguration verwendet.
Recipient Email Address

Optional.

Eine durch Kommas getrennte Liste der E‑Mail-Adressen von Empfängern, die der Blockierliste hinzugefügt werden sollen.
Sender Email Address

Optional.

Eine durch Kommas getrennte Liste mit E‑Mail-Adressen von Absendern, die der Blockierliste hinzugefügt werden sollen.
Sender IP Address

Optional.

Eine durch Kommas getrennte Liste von Absender-IP-Adressen, die der Blockierliste hinzugefügt werden sollen.
Sender Hostname

Optional.

Eine durch Kommas getrennte Liste der Absender-Hostnamen, die der Sperrliste hinzugefügt werden sollen.
Sender HELO Domain Name

Optional.

Eine durch Kommas getrennte Liste von HELO-Domainnamen, die der Blockierliste hinzugefügt werden sollen.
Message Header From (Address Only)

Optional.

Eine durch Kommas getrennte Liste von „Message Header From“-Einträgen, die der Blockierliste hinzugefügt werden sollen.
Comment

Optional.

Eine Beschreibung oder Begründung, die mit den Einträgen in der Blockierliste verknüpft ist.

Aktionsausgaben

Die Aktion IOC zur Blockierungsliste hinzufügen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle im Fall-Repository Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion IOC zur Blockierliste hinzufügen kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully added new entries to the block list.

 Die Aktion wurde ausgeführt.
Error ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion IOC zur Blockierliste hinzufügen verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Einträge der Zulassungsliste abrufen

Mit der Aktion Get Allow List Entries (Einträge der Zulassungsliste abrufen) können Sie vorhandene Einträge aus der Zulassungsliste von Proofpoint Threat Protection abrufen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Allow List Entries (Einträge auf der Zulassungsliste abrufen) sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Cluster ID

Erforderlich.

Die Cluster-ID der Zulassungsliste.

Wenn kein Wert angegeben ist, wird die Cluster-ID aus der Integrationskonfiguration verwendet.
IOC Type To Return

Optional.

Die Arten von IOCs, die zurückgegeben werden sollen.

Wenn All ausgewählt ist, werden alle Einträge zurückgegeben.

Folgende Werte sind möglich:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

Der Standardwert ist All.
Max IOCs To Return

Optional.

Die Anzahl der zurückzugebenden IOCs.

Der Höchstwert ist 1000.

Der Standardwert ist 100.

Aktionsausgaben

Die Aktion Get Allow List Entries (Einträge der Zulassungsliste abrufen) gibt die folgenden Ausgaben zurück:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle im Fall-Repository Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Einträge auf der Zulassungsliste abrufen empfangen wird:

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
Ausgabenachrichten

Die Aktion Get Allow List Entries (Einträge der Zulassungsliste abrufen) kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully listed entries in the allow list based on the provided criteria.

 Die Aktion wurde ausgeführt.
Error ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Einträge auf der Zulassungsliste abrufen verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Einträge der Sperrliste abrufen

Mit der Aktion Get Block List Entries (Einträge der Sperrliste abrufen) können Sie vorhandene Einträge aus der Sperrliste von Proofpoint Threat Protection abrufen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Block List Entries sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Cluster ID

Erforderlich.

Die Cluster-ID der Blockierungsliste.

Wenn kein Wert angegeben ist, wird die Cluster-ID aus der Integrationskonfiguration verwendet.
IOC Type To Return

Optional.

Die Arten von IOCs, die zurückgegeben werden sollen.

Wenn All ausgewählt ist, werden alle Einträge zurückgegeben.

Folgende Werte sind möglich:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

Der Standardwert ist All.
Max IOCs To Return

Optional.

Die Anzahl der zurückzugebenden IOCs.

Der Höchstwert ist 1000.

Der Standardwert ist 100.

Aktionsausgaben

Die Aktion Blockierungslisteneinträge abrufen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle im Fall-Repository Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Einträge der Blockierliste abrufen empfangen wird:

[
       {
           "attribute": "$from",
           "operator": "equal",
           "value": "test@example.com",
           "comment": ""
       }
]
Ausgabenachrichten

Die Aktion Get Block List Entries (Einträge der Sperrliste abrufen) kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully listed entries in the block list based on the provided criteria.

 Die Aktion wurde ausgeführt.
Error ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Skriptergebnis-Ausgabe bei Verwendung der Aktion Get Block List Entries aufgeführt:

Name des Scriptergebnisses Wert
is_success true oder false

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Proofpoint Threat Protection zu testen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle im Fall-Repository Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully connected to the Proofpoint Threat Protection server with the provided connection parameters!

 Die Aktion wurde ausgeführt.
Failed to connect to the Proofpoint Threat Protection server! Error is ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses Wert
is_success true oder false

Eintrag aus der Zulassungsliste entfernen

Verwenden Sie die Aktion Eintrag aus der Zulassungsliste entfernen, um einen Eintrag aus der Zulassungsliste von Proofpoint Threat Protection zu entfernen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Eintrag aus der Zulassungsliste entfernen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Cluster ID

Erforderlich.

Die Cluster-ID der Zulassungsliste.

Wenn kein Wert angegeben ist, wird die Cluster-ID aus der Integrationskonfiguration verwendet.
IOC Type To Search

Optional.

Die Arten von IOCs, nach denen gesucht werden soll.

Wenn All ausgewählt ist, werden durch die Aktion alle Einträge entfernt, die dem Wert entsprechen.

Folgende Werte sind möglich:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

Der Standardwert ist All.
Value

Optional.

Der Wert, der aus der Zulassungsliste entfernt werden soll.
Case Insensitive Search

Erforderlich.

Wenn diese Option ausgewählt ist, werden alle übereinstimmenden Einträge durch eine Suche ohne Berücksichtigung der Groß-/Kleinschreibung ermittelt und entfernt.

Aktionsausgaben

Die Aktion Eintrag aus der Zulassungsliste entfernen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle im Fall-Repository Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion Eintrag aus der Zulassungsliste entfernen kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully deleted entry in the allow list based on the provided criteria.

 Die Aktion wurde ausgeführt.
Error ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Remove Entry from Allow List (Eintrag aus der Zulassungsliste entfernen) verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Eintrag aus der Sperrliste entfernen

Mit der Aktion Eintrag aus der Sperrliste entfernen können Sie einen Eintrag aus der Sperrliste von Proofpoint Threat Protection entfernen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Eintrag aus der Liste blockierter Apps entfernen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Cluster ID

Erforderlich.

Die Cluster-ID der Blockierungsliste.

Wenn kein Wert angegeben ist, wird die Cluster-ID aus der Integrationskonfiguration verwendet.
IOC Type To Search

Optional.

Die Arten von IOCs, nach denen gesucht werden soll.

Wenn All ausgewählt ist, werden durch die Aktion alle Einträge entfernt, die dem Wert entsprechen.

Folgende Werte sind möglich:

  • All
  • Recipient Email Address
  • Sender Email Address
  • Sender IP Address
  • Sender Hostname
  • Sender HELO Domain Name
  • Message Header From (Address Only)

Der Standardwert ist All.
Value

Optional.

Der Wert, der aus der Blockierliste entfernt werden soll.
Case Insensitive Search

Erforderlich.

Wenn diese Option ausgewählt ist, werden alle übereinstimmenden Einträge durch eine Suche ohne Berücksichtigung der Groß-/Kleinschreibung ermittelt und entfernt.

Aktionsausgaben

Die Aktion Eintrag aus der Blockierungsliste entfernen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle im Fall-Repository Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion Eintrag aus der Blockierliste entfernen kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully deleted entry in the block list based on the provided criteria.

 Die Aktion wurde ausgeführt.
Error ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Eintrag aus der Sperrliste entfernen verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten