IronPort
Version de l'intégration : 12.0
Autorisation du produit
L'API AsyncOS est un système basé sur les rôles. La portée des requêtes API est définie par le rôle de l'utilisateur. Les utilisateurs de l'appliance Cisco Content Security Management disposant des rôles suivants peuvent accéder à l'API AsyncOS :
- Administrateur
- Opérateur
- Technicien
- Opérateur en lecture seule
- Invité
- Administrateur Web
- Administrateur des règles relatives au Web
- Administrateur du filtrage des URL
- Administrateur de messagerie
- Utilisateur du centre d'assistance
Configurer l'intégration IronPort dans Google SecOps
Configurer l'intégration IronPort avec un certificat CA
Si nécessaire, vous pouvez valider votre connexion avec un fichier de certificat CA.
Avant de commencer, assurez-vous de disposer des éléments suivants :
- Fichier de certificat CA
- Dernière version de l'intégration IronPort
Pour configurer l'intégration avec un certificat d'autorité de certification, procédez comme suit :
- Analysez votre fichier de certificat CA en une chaîne Base64.
- Ouvrez la page des paramètres de configuration de l'intégration.
- Insérez la chaîne dans le champ Fichier de certificat de l'autorité de certification.
- Pour vérifier que l'intégration est correctement configurée, cochez la case Vérifier le protocole SSL, puis cliquez sur Tester.
Configurer l'intégration IronPort dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Adresse du serveur IronPort | Chaîne | x.x.x.x | Oui | Adresse du serveur IronPort auquel se connecter. |
| Port de l'API IronPort AsyncOS | Chaîne | 6443 | Vrai | Port de l'API IronPort AsyncOS auquel se connecter. |
| Port SSH Ironport | Chaîne | 22 | Oui | Port SSH IronPort auquel se connecter. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Compte IronPort à utiliser avec l'intégration. |
| Phrase secrète (mot de passe) | Mot de passe | N/A | Oui | Mot de passe du compte. |
| Fichier de certificat d'autorité de certification (AC) analysé en chaîne Base64 | Chaîne | N/A | Non | N/A |
| Use SSL (Connexion SSL) | Case à cocher | Cochée | Non | Indiquez si HTTPS doit être utilisé pour se connecter à l'API AsyncOS. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Non | Indiquez si la validation du certificat doit être activée (vérifie si le certificat configuré pour l'API AsyncOS est valide). |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ajouter un expéditeur à la liste de blocage
Description
Ajoutez un expéditeur à une liste de blocage.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Expéditeurs | Chaîne | N/A | Oui | Adresse de l'expéditeur à ajouter à la liste des expéditeurs bloqués. L'action accepte plusieurs adresses sous la forme d'une liste d'éléments séparés par une virgule. |
| Liste des filtres | Chaîne | N/A | Oui | Nom de la liste de blocage. |
Exemples de cas d'utilisation de playbooks
Ajoutez un expéditeur d'e-mails indésirables à la liste noire IronPort en fonction de l'analyse dans Google SecOps.
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Obtenir tous les destinataires par expéditeur
Description
Obtenez la liste des destinataires qui ont reçu des e-mails d'un expéditeur donné.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Expéditeur | Chaîne | N/A | Oui | Adresse e-mail de l'expéditeur à filtrer. |
| Rechercher les X derniers e-mails | Integer | 7 | Oui | Spécifiez une période pour laquelle rechercher des e-mails. Notez que cette valeur doit être définie en fonction du nombre d'e-mails traités par IronPort. Si une valeur suffisamment élevée est fournie, l'action peut expirer. |
| Définir la période de recherche d'e-mails dans | LDD | Jours | Oui | Indiquez si les recherches d'e-mails doivent être effectuées sur une période de jours ou d'heures. |
| Nombre maximal de destinataires à renvoyer | Integer | 20 | Oui | Indiquez le nombre de destinataires que l'action doit renvoyer. |
| Taille de la page | Integer | 100 | Oui | Spécifiez la taille de la page que l'action doit utiliser lors de la recherche d'e-mails. |
Exemples de cas d'utilisation de playbooks
Recherchez les destinataires d'e-mails en fonction de l'adresse e-mail de l'expéditeur fournie dans l'action.
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| résultats | N/A | N/A |
Résultat JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A",
"subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
}
}
Obtenir tous les destinataires par objet
Description
Obtenez la liste des destinataires qui ont reçu un e-mail avec le même objet.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Subject | Chaîne | N/A | Oui | Sujet à filtrer. |
| Rechercher les X derniers e-mails | Integer | 7 | Oui | Spécifiez une période pendant laquelle rechercher des e-mails. Notez que cette valeur doit être définie en fonction du nombre d'e-mails traités par IronPort. Si une valeur suffisamment élevée est fournie, l'action peut expirer. |
| Définir la période de recherche d'e-mails dans | LDD | Jours | Oui | Indiquez si les e-mails de recherche doivent être envoyés par période de jours ou d'heures. |
| Nombre maximal de destinataires à renvoyer | Integer | 20 | Oui | Indiquez le nombre de destinataires que l'action doit renvoyer. |
| Taille de la page | Integer | 100 | Oui | Spécifiez la taille de la page que l'action doit utiliser lors de la recherche d'e-mails. |
Exemples de cas d'utilisation de playbooks
Recherchez des informations sur les e-mails dans IronPort lorsque l'objet des e-mails contient des caractères Unicode.
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| destinataires | N/A | N/A |
Résultat JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A"
}
Télécharger le rapport
Description
Récupérez des informations spécifiques sur les rapports IronPort.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
Type de rapport |
Liste déroulante | Valeur par défaut : aucune | Oui | Type de rapport à récupérer. Remarque : Les rapports mail_sender_ip_hostname_detail et mail_incoming_ip_hostname_detail fonctionnent sur la base des entités IP ou hôte Google SecOps. Le rapport mail_users_detail fonctionne sur la base de l'entité utilisateur Google SecOps (avec adresse e-mail). D'autres rapports fonctionnent sans entités Google SecOps. |
| Données des rapports sur les recherches pour les X derniers jours | Integer | 7 | Oui | Spécifiez une période en jours pour laquelle rechercher les données des rapports. Par défaut, la période est définie sur les sept derniers jours. |
| Nombre maximal d'enregistrements à renvoyer | Integer | 20 | Oui | Indiquez le nombre d'enregistrements que l'action doit renvoyer. |
Exemples de cas d'utilisation de playbooks
Obtenez des informations sur les rapports du serveur IronPort pour analyser les alertes dans Google SecOps.
Exécuter sur
- Adresse IP ou hôte : rapports mail_sender_ip_hostname_detail et mail_incoming_ip_hostname_detail
- USER - mail_users_detail report
- NONE (AUCUN) : les autres types de rapports fonctionnent sans entités Google SecOps.
Résultats de l'action
Enrichissement d'entités
L'enrichissement d'entités doit fonctionner comme dans l'action existante : si le rapport renvoie des données pour une entité Google SecOps spécifique, utilisez les données renvoyées pour l'enrichissement.
Consultez le code d'action existant pour référence.
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
{
"meta": {
"totalCount": -1
},
"data": {
"type": "mail_sender_ip_hostname_detail",
"resultSet": {
"time_intervals": [
{
"end_timestamp": 1590969599.0,
"counter_values": [
{
"counter_values": [
0,
0,
0,
0,
8,
8,
0,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1588291200.0,
"end_time": "2020-05-31T23:59:00.000Z",
"begin_time": "2020-05-01T00:00:00.000Z"
},
{
"end_timestamp": 1593561599.0,
"counter_values": [
{
"counter_values": [
0,
0,
6,
0,
5,
11,
6,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1590969600.0,
"end_time": "2020-06-30T23:59:00.000Z",
"begin_time": "2020-06-01T00:00:00.000Z"
}
],
"counter_names": [
"detected_virus",
"detected_spam",
"threat_content_filter",
"total_dlp_incidents",
"total_clean_recipients",
"total_recipients_processed",
"total_threat_recipients",
"detected_amp"
]
}
}
}
Ping
Description
Testez la connectivité au serveur IronPort avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.