Ansichten:
Advact Logo



Knowledgebase

Download der Block-Listen von advact

advact führt verschiedene Block-Listen, auf welchen sich bekannte Absender, Domains und URLs von SPAM oder Malicious E-Mails befinden. Mit diesen Block-Listen werden in Respond die Verdachtsmeldungen von Mitarbeitenden der Kunden automatisch beantwortet. In Extract werden die Block-Listen (teilweise) dazu verwendet um E-Mails direkt beim Eintreffen in den Posteingang zu löschen (Block).

Extract (Poc) Kunden der advact können diese Block-Listen über die API sehr einfach herunterladen und für eigene Zwecke einsetzen. So kann zum Beispiel die Block-List des Proxy-Servers ergänzt werden, oder es können Logs automatisch durchsucht werden (hat jemand bei uns auf eine der bekannten Phishing-URLs geklickt?).

API key erstellen

Über support@advact.ch können Sie einen dedizierten API-key für Ihre Sublime-Instanz anfordern. Sie können auch selbst einen API key direkt in Sublime generieren. Wir empfehlen Ihnen dazu einen dedizierten User zu erstellen (Block-List Sync User), sich mit diesem einmal einzuloggen und den API key zu erstellen (Automate -  API). Wenn Sie - wie von uns sehr empfohlen - die M365 Authentifizierung an Sublime erzwingen, müssen Sie diese kurz deaktivieren, damit Sie sich einmalig lokal mit dem neu erstellen API-User einloggen können. Wenn Sie anschliessend M365 wieder enforcen ist automatisch sichergestellt, dass sich niemand mit dem API User über das GUI anmelden kann.

Vorhandene Listen anzeigen

Jede Liste in Sublime hat eine eindeutige ID. Diese ID ist auf den verschiedenen Sublime-Instanzen unterschiedlich. Sie müssen sich zuerst alle vorhandenen Listen anzeigen lassen, damit Sie alle IDs sehen können. So können Sie auch gleich entscheiden, welche Listen Sie herunterladen möchten.

Die API Dokumentation von Sublime ist sehr gut und gibt Ihnen klare Anweisungen zur Konfiguration in den verschiedensten Tools/Sprachen:

Die Anleitung für das Anzeigen aller vorhandenen Listen finden Sie hier: https://docs.sublime.security/reference/getlists-1

Der "Host" ist im Normalfall sublime.advact.ch.

Für die Authentifizierung müssen Sie bei "Bearer" Ihren API Key eingeben.

Als Resultat erhalten Sie ein JSON File mit Details zu allen Listen auf Ihrer dedizierten Sublime Instanz:

Notieren Sie sich die "id" aller Listen, die Sie herunterladen möchten. Es gibt diverse Listen, die von Sublime selber (zum Teil auch automatisch) befüllt werden, so zum Beispiel:

  • recipient_domains -> beinhaltet eine Liste mit allen Domains, an welche Ihre Organisation schon eine E-Mail gesandt hat
  • free_email_providers -> Liste mit Domänen von Gratis-Mailanbietern. 

Die Listen der advact AG beginnen alle mit "advact_", hier eine Auswahl der für Sie spannenstens Listen der advact:

  • advact_phishing_domain
  • advact_phishing_url
  • advact_phishing_sender
  • advact_phishing_sender_domain
  • advact_spam_domain
  • advact_spam_sender
  • advact_spam_sender_domain
  • advact_spam_url

Download der Einträge

Die Einträge der verschiedenen Listen, müssen Sie jeweils über einen eigenen API-Call auslösen. Auch dieser ist in der Sublime API-Dokumentation sehr gut beschrieben:

https://sublime.advact.ch/v0/lists/LISTIDGOESHERE/entries

https://docs.sublime.security/reference/getlistentries-1

Als Resultat erhalten Sie ein JSON mit "String"-Einträgen der einzelnen Domänen, Absender, oder URLs:

Die Listen werden von advact konstant mit neuen Einträgen befüllt, es macht also Sinn, dass Sie sich die Listen regelmässig herunterladen.

IP Allow List

Wir empfehlen Ihnen sehr, die Zugriff auf Ihre Sublime-Instanz mit IP Allow Listen einzuschränken. Denken Sie an diese Einschränkung, wenn Sie die API Calls ausführen, diese sind selbstverständlich auch von der IP Einschränkung betroffen.

Keywords: blocklist, api, sublime, extract
Kommentare (0)