IronPort
Versão da integração: 12.0
Autorização do produto
A API AsyncOS é um sistema baseado em funções. O âmbito das consultas da API é definido pela função do utilizador. Os utilizadores do dispositivo de gestão de segurança de conteúdos da Cisco com as seguintes funções podem aceder à API AsyncOS:
- Administrador
- Operador
- Técnico
- Operador só de leitura
- Convidado
- Administrador Web
- Administrador de políticas da Web
- Administrador da filtragem de URLs
- Administrador de email
- Utilizador do serviço de assistência
Configure a integração do IronPort no Google SecOps
Configure a integração do IronPort com um certificado da AC
Se necessário, pode validar a sua ligação com um ficheiro de certificado de CA.
Antes de começar, certifique-se de que tem o seguinte:
- O ficheiro de certificado da AC
- A versão de integração mais recente do IronPort
Para configurar a integração com um certificado de AC, conclua os seguintes passos:
- Analise o ficheiro do certificado da CA numa string Base64.
- Abra a página de parâmetros de configuração da integração.
- Insira a string no campo Ficheiro de certificado da AC.
- Para testar se a integração está configurada com êxito, selecione a caixa de verificação Validar SSL e clique em Testar.
Configure a integração do IronPort no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Endereço do servidor IronPort | String | x.x.x.x | Sim | Endereço do servidor IronPort ao qual estabelecer ligação. |
| Porta da API IronPort AsyncOS | String | 6443 | True | Porta da API IronPort AsyncOS à qual estabelecer ligação. |
| Porta SSH do IronPort | String | 22 | Sim | Porta SSH do IronPort à qual estabelecer ligação. |
| Nome de utilizador | String | N/A | Sim | Conta do IronPort a usar com a integração. |
| Frase de acesso (palavra-passe) | Palavra-passe | N/A | Sim | Palavra-passe da conta. |
| Ficheiro de certificado da CA: analisado em string Base64 | String | N/A | Não | N/A |
| Usar SSL | Caixa de verificação | Marcado | Não | Especifique se o HTTPS deve ser usado para estabelecer ligação à API AsyncOS. |
| Validar SSL | Caixa de verificação | Desmarcado | Não | Especifique se a validação de certificados deve ser ativada (verifica se o certificado configurado para a API AsyncOS é válido). |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Adicione o remetente à lista de bloqueios
Descrição
Adicione um remetente a uma lista de bloqueio.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Remetentes | String | N/A | Sim | O endereço do remetente a adicionar à lista de bloqueios. A ação aceita vários endereços como uma lista separada por vírgulas. |
| Lista de filtros | String | N/A | Sim | O nome da lista de bloqueio. |
Exemplos de utilização do manual de estratégias
Adicione um remetente de email indesejado à lista negra do IronPort com base na análise no Google SecOps.
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Obter todos os destinatários por remetente
Descrição
Obtenha uma lista de destinatários que receberam emails de um determinado remetente.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Remetente | String | N/A | Sim | O endereço de email do remetente pelo qual filtrar. |
| Pesquise emails dos últimos X | Número inteiro | 7 | Sim | Especifique um período para pesquisar emails. Tenha em atenção que este valor deve ser definido de acordo com a quantidade de emails processados pelo IronPort. Se for fornecido um valor suficientemente grande, a ação pode exceder o tempo limite. |
| Defina o período de email de pesquisa em | LDD | Dias | Sim | Especifique se as pesquisas de emails devem ser feitas com o período de dias ou horas. |
| Máximo de destinatários a devolver | Número inteiro | 20 | Sim | Especifique quantos destinatários a ação deve devolver. |
| Tamanho da página | Número inteiro | 100 | Sim | Especifique o tamanho da página para a ação a usar quando pesquisar emails. |
Exemplos de utilização do manual de estratégias
Pesquise destinatários de email com base no email do remetente fornecido na ação.
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| resultados | N/A | N/A |
Resultado JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A",
"subject": "IronPort Report: Outgoing Mail Daily Report (smtp.inside-ironport.local)"
}
}
Obtenha todos os destinatários por assunto
Descrição
Receba uma lista de destinatários que receberam um email com o mesmo assunto.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Assunto | String | N/A | Sim | O assunto pelo qual filtrar. |
| Pesquise emails dos últimos X | Número inteiro | 7 | Sim | Especifique um intervalo de tempo para procurar emails. Tenha em atenção que este valor deve ser definido de acordo com a quantidade de emails processados pelo IronPort. Se for indicado um valor suficientemente grande, a ação pode exceder o tempo limite. |
| Defina o período de email de pesquisa em | LDD | Dias | Sim | Especifique se as pesquisas de emails devem ser feitas com o período de dias ou horas. |
| Máximo de destinatários a devolver | Número inteiro | 20 | Sim | Especifique quantos destinatários a ação deve devolver. |
| Tamanho da página | Número inteiro | 100 | Sim | Especifique o tamanho da página para a ação a usar quando pesquisar emails. |
Exemplos de utilização do manual de estratégias
Pesquise informações de email no IronPort quando os emails tiverem Unicode no assunto.
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| destinatários | N/A | N/A |
Resultado JSON
{
"attributes": {
"direction": "",
"hostName": "",
"senderGroup": "N/A",
"sender": "reporting@smtp.inside-ironport.local",
"replyTo": "N/A",
"timestamp": "20 May 2020 01:00:04 (GMT +00:00)",
"serialNumber": "42225C72BFBA18A2257D-C143F31DFB78",
"mid": [
229
],
"senderIp": "N/A",
"icid": 0,
"messageStatus": {
"229": "Delivered"
},
"mailPolicy": [],
"isCompleteData": "N/A",
"verdictChart": {
"229": "00000000"
},
"senderDomain": "N/A",
"recipient": [
"test.user1@inside-ironport.local"
],
"sbrs": "N/A"
}
Obter relatório
Descrição
Obter informações específicas de relatórios do IronPort.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
Tipo de relatório |
Lista pendente | Valor predefinido: nenhum | Sim | O tipo de relatório a obter. Nota: os relatórios mail_sender_ip_hostname_detail e mail_incoming_ip_hostname_detail funcionam com base nas entidades de IP ou anfitrião do Google SecOps; o relatório mail_users_detail funciona com base na entidade de utilizador do Google SecOps (com endereço de email). Outros relatórios estão a funcionar sem entidades do Google SecOps. |
| Dados dos relatórios de pesquisa dos últimos X dias | Número inteiro | 7 | Sim | Especifique um período, em dias, para o qual pesquisar dados de relatórios. Por predefinição, está definido para os últimos 7 dias. |
| Número máximo de registos a devolver | Número inteiro | 20 | Sim | Especifique quantos registos a ação deve devolver. |
Exemplos de utilização do manual de estratégias
Receba informações de relatórios do servidor IronPort para análise do alerta no Google SecOps.
Executar em
- IP ou HOST - Relatórios mail_sender_ip_hostname_detail e mail_incoming_ip_hostname_detail
- UTILIZADOR – relatório mail_users_detail
- NENHUM: outros tipos de relatórios estão a funcionar sem entidades do Google SecOps.
Resultados da ação
Enriquecimento de entidades
O enriquecimento de entidades deve funcionar como na ação existente. Se o relatório devolver dados para uma entidade específica do Google SecOps, use os dados devolvidos para o enriquecimento.
Consulte o código de ação existente para referência.
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
{
"meta": {
"totalCount": -1
},
"data": {
"type": "mail_sender_ip_hostname_detail",
"resultSet": {
"time_intervals": [
{
"end_timestamp": 1590969599.0,
"counter_values": [
{
"counter_values": [
0,
0,
0,
0,
8,
8,
0,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1588291200.0,
"end_time": "2020-05-31T23:59:00.000Z",
"begin_time": "2020-05-01T00:00:00.000Z"
},
{
"end_timestamp": 1593561599.0,
"counter_values": [
{
"counter_values": [
0,
0,
6,
0,
5,
11,
6,
0
],
"ip_domain": "172.30.203.100",
"key": "irp-d1-dc01.inside-ironport.local"
}
],
"begin_timestamp": 1590969600.0,
"end_time": "2020-06-30T23:59:00.000Z",
"begin_time": "2020-06-01T00:00:00.000Z"
}
],
"counter_names": [
"detected_virus",
"detected_spam",
"threat_content_filter",
"total_dlp_incidents",
"total_clean_recipients",
"total_recipients_processed",
"total_threat_recipients",
"detected_amp"
]
}
}
}
Tchim-tchim
Descrição
Teste a conetividade ao servidor IronPort com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.