Segurança de email da Cloudflare com o Google SecOps
Este documento explica como integrar a segurança de email da Cloudflare (anteriormente Area 1) com o Google Security Operations (Google SecOps).
Versão de integração: 5.0
Parâmetros de integração
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://HOST:PORT | Sim | Endereço da instância da área 1. |
| Nome de utilizador | String | N/A | Sim | O endereço de email do utilizador que deve ser usado para estabelecer ligação à Área 1. |
| Palavra-passe | Palavra-passe | N/A | Sim | A palavra-passe do utilizador correspondente. |
| Validar SSL | Caixa de verificação | Marcado | Não | Use esta caixa de verificação se a ligação da Área 1 exigir uma validação SSL. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Receba indicadores recentes
Receba indicadores maliciosos recentes da segurança de email da Cloudflare que podem estar relacionados com phishing.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Segundos atrás | String | N/A | N/A |
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| Is_Success | Verdadeiro/Falso | Is_Success:False |
Resultado JSON
[
{
"threat_categories":
[{
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Microsoft Favicon Impersonation",
"item_name": "example.com/nc_assets/css/12/",
"item_type": "url",
"first_seen": 1550127499097,
"last_seen": 1550134395800
}, {
"threat_categories":
[{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"threat_name": "Area 1 Identified Malicious",
"item_name": "e039e82c00e4ae0ddc92908c705350ec",
"item_type": "filehash",
"first_seen": 1550125103575,
"last_seen": 1550125103575
}
]
Tchim-tchim
Teste a conetividade com a segurança de email da Cloudflare.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Indicador de pesquisa
Pesquise indicadores na segurança de email da Cloudflare por hash, URL, domínio, endereço IP ou endereço de email.
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| AREA1_category | Devolve se existir no resultado JSON |
| AREA1_threat_type | Devolve se existir no resultado JSON |
| AREA1_classification_disposition | Devolve se existir no resultado JSON |
| AREA1_confidence_rating | Devolve se existir no resultado JSON |
| AREA1_intervals | Devolve se existir no resultado JSON |
| AREA1_value | Devolve se existir no resultado JSON |
| AREA1_type | Devolve se existir no resultado JSON |
| AREA1_name | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "indicator"
}, {
"EntityResult": "red",
"Entity": "tlp"
}, {
"EntityResult": 80,
"Entity": "overall_confidence"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "name"
}, {
"EntityResult": [
{
"category": ["Universal"],
"threat_type": ["Actor Tool"],
"classification_disposition": ["Unclassified"]
}],
"Entity": "threat_categories"
}, {
"EntityResult": "drizzle",
"Entity": "author"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "filehash"
}, {
"EntityResult": 1550125103522,
"Entity": "first_detected"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "Hash_SHA1"
}, {
"EntityResult": "Area 1 Identified Malicious",
"Entity": "threat_name"
}, {
"EntityResult": "85f321d7f27916de21992c5284ff632db3db3481",
"Entity": "query_term"
}, {
"EntityResult": "MAICIOUS",
"Entity": "disposition"
}, {
"EntityResult": "file",
"Entity": "family"
}, {
"EntityResult": [
{
"category": "Indicator Category",
"confidence_rating": 80,
"intervals": [
{
"start": 1550120952000,
"end": "current"
}],
"value": "Universal"
}],
"Entity": "tag_histories"
}, {
"EntityResult": 1550125103522,
"Entity": "first_seen"
}, {
"EntityResult": [
{
"type": "Hash_MD5",
"name": "e412341be78003526999f77e8728526e"
}, {
"type": "Hash_SHA256",
"name": "61f006012d2bd7f43bc14ecbeb6a7e690f9d68b4b6b396dab5805be2da75c717"
}],
"Entity": "aliases"
}, {
"EntityResult": "Hash_SHA1", "Entity": "type"
}, {
"EntityResult": 1550120950000,
"Entity": "last_seen"
}
]
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.