FireEye CM
Integrationsversion: 9.0
Anwendungsbereiche
- Trellix Central Management-Benachrichtigungen aufnehmen, um damit Google Security Operations-Benachrichtigungen zu erstellen. In Google SecOps können dann mit Benachrichtigungen Orchestrierungen mit Playbooks oder manuelle Analysen durchgeführt werden.
- Aktive Maßnahmen ergreifen – Warnungsartefakte mit dem Trellix Central Management-Agent von Google SecOps herunterladen, eine Regel erstellen, IOC-Feeds
FireEye CM-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Stamm | String | https://: |
Ja | API-Stammverzeichnis des Trellix Central Management-Servers. |
| Nutzername | String | – | Ja | Nutzername des Trellix Central Management-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort des Trellix Central Management-Kontos. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird das SSL-Zertifikat für die Verbindung zum Trellix Central Management-Server geprüft. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Trellix Central Management mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder eine Playbook-Ausführung stoppen: Bei Erfolg: Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: Geben Sie „Failed to connect to the Trellix Central Management server! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
IOC-Feed hinzufügen
Beschreibung
Fügen Sie den IOC-Feed in Trellix Central Management basierend auf Entitäten hinzu. Nur MD5- und SHA256-Hashes werden unterstützt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Aktion | DDL | Benachrichtigung Möglicher Wert Benachrichtigung Blockieren |
Ja | Geben Sie an, welche Aktion für den neuen Feed ausgeführt werden soll. |
| Kommentar | String | – | Nein | Geben Sie zusätzliche Kommentare für den Feed an. |
| Domain extrahieren | Kästchen | – | Ja | Wenn diese Option aktiviert ist, wird der Domainteil aus der URL extrahiert und zum Erstellen des IOC-Feeds verwendet. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- URL
- HASH (MD5/SHA256)
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder eine Playbook-Ausführung stoppen: if status code 200 for at least one entity type(is_success = true): if some of the entity types were not used properly (is_success =true) : Wenn keine der Entitäten erfolgreich für die Feederstellung verwendet wurde: (is_success=false) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: Gib „Fehler beim Ausführen der Aktion ‚IOC-Feed hinzufügen‘“ aus. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
IOC-Feed löschen
Beschreibung
Löschen Sie den IOC-Feed in Trellix Central Management.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Feedname | String | – | Ja | Geben Sie den Namen des Feeds an, der gelöscht werden soll. |
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen: if status code 200 and feedName was found in the list for last request (is_success = false): "Action wasn't able to delete feed '{0}' in Trellix Central Management. Wenn der Feedname anfangs nicht vorhanden ist: „Die Aktion konnte den IOC-Feed in Trellix Central Management nicht löschen.“ Grund: Der Feed „{feed_name}“ wurde nicht gefunden. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
E-Mails in Quarantäne auflisten
Beschreibung
In Quarantäne verschobene E‑Mails auflisten Erfordert, dass FireEye EX mit Trellix Central Management verbunden ist.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Beginn | String | – | Nein | Wenn angegeben, werden nur E-Mails zurückgegeben, die nach der Startzeit erstellt wurden. Wenn „Start Time“ (Startzeit) und „End Time“ (Endzeit) nicht angegeben sind, werden durch die Aktion unter Quarantäne gestellte E‑Mails der letzten 24 Stunden zurückgegeben. Format: YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| Ende | String | – | Nein | Wenn angegeben, werden nur E‑Mails zurückgegeben, die vor dem Endzeitpunkt erstellt wurden. Wenn „Start Time“ (Startzeit) und „End Time“ (Endzeit) nicht angegeben sind, werden durch die Aktion unter Quarantäne gestellte E‑Mails der letzten 24 Stunden zurückgegeben. Format: YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| Absenderfilter | String | – | Nein | Wenn angegeben, werden alle E‑Mails in der Quarantäne nur von diesem Absender zurückgegeben. |
| Betrefffeld | String | – | Nein | Wenn angegeben, werden alle unter Quarantäne gestellten E‑Mails mit diesem Betreff zurückgegeben. |
| Maximale Anzahl zurückzugebender E‑Mails | String | 50 | Nein | Geben Sie an, wie viele E‑Mails zurückgegeben werden sollen. Das Limit beträgt 10.000. Dies ist eine Einschränkung von Trellix Central Management. |
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "x-x-x-x-x",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen: Wenn keine Daten verfügbar sind (is_success = true): „In Trellix Central Management wurden keine unter Quarantäne gestellten E‑Mails gefunden.“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
| Tabelle „Fall-Repository“ | Name:Unter Quarantäne gestellte E-Mails Spalten:
|
E‑Mail aus Quarantäne freigeben
Beschreibung
Gibt unter Quarantäne gestellte E‑Mails frei. Erfordert, dass FireEye EX mit Trellix Central Management verbunden ist.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Warteschlangen-ID | String | – | Ja | Geben Sie die Warteschlangen-ID der E‑Mail an, die freigegeben werden muss. |
| Sensorname | String | – | Nein | Geben Sie den Namen des Sensors an, auf dem Sie eine E‑Mail aus der Quarantäne freigeben möchten. Wenn hier nichts angegeben ist, versucht die Aktion, den Sensor automatisch zu finden. |
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen: wenn Statuscode 200 und Antwort nicht leer (is_success = false): „E-Mail mit Warteschlangen-ID {0} wurde nicht freigegeben. Grund: {1}“. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn der Sensor nicht automatisch gefunden wird: „Fehler beim Ausführen der Aktion ‚E‑Mail aus Quarantäne freigeben‘. Grund: Der Sensor für die FireEye EX-Appliance wurde nicht gefunden. Geben Sie ihn bitte manuell im Parameter „Sensor Name“ (Sensorname) an.“.format(error.Stacktrace) Wenn ein ungültiger Sensor angegeben wird: „Fehler beim Ausführen der Aktion ‚E‑Mail aus Quarantäne freigeben‘. Grund: Der Sensor mit dem Namen {0} für die FireEye EX-Appliance wurde nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.''.format(error.Stacktrace) |
Allgemein |
Unter Quarantäne gestellte E-Mail herunterladen
Beschreibung
Unter Quarantäne gestellte E‑Mail herunterladen Erfordert, dass FireEye EX mit Trellix Central Management verbunden ist.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Warteschlangen-ID | String | – | Ja | Geben Sie die Warteschlangen-ID der E‑Mail an, die heruntergeladen werden soll. |
| Download-Ordnerpfad | String | – | Ja | Geben Sie den absoluten Pfad zu dem Ordner an, in dem die Dateien gespeichert werden sollen. |
| Überschreiben | Kästchen | Ja | Ja | Wenn diese Option aktiviert ist, wird die vorhandene Datei mit demselben Pfad durch die Aktion überschrieben. |
| Sensorname | String | – | Nein | Geben Sie den Namen des Sensors an, von dem Sie eine unter Quarantäne gestellte E‑Mail herunterladen möchten. Wenn hier nichts angegeben ist, versucht die Aktion, den Sensor automatisch zu finden. |
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
file_path = {absolute file path to the file}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen: if status code 200 and xml in the response (is_success = false): "Email with queue id {0} was not downloaded. Grund: {1}“. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn der Sensor nicht automatisch gefunden wird: „Fehler beim Ausführen der Aktion ‚Unter Quarantäne gestellte E-Mail herunterladen‘. Grund: Der Sensor für die FireEye EX-Appliance wurde nicht gefunden. Geben Sie ihn bitte manuell im Parameter „Sensor Name“ (Sensorname) an.“.format(error.Stacktrace) Wenn ein ungültiger Sensor angegeben wird: „Fehler beim Ausführen der Aktion ‚Unter Quarantäne gestellte E-Mail herunterladen‘. Grund: Der Sensor mit dem Namen {0} für die FireEye EX-Appliance wurde nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.''.format(error.Stacktrace) |
Allgemein |
E‑Mail in Quarantäne löschen
Beschreibung
E‑Mail in Quarantäne löschen Erfordert, dass FireEye EX mit Trellix Central Management verbunden ist.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Warteschlangen-ID | String | – | Ja | Geben Sie die Warteschlangen-ID der E‑Mail an, die gelöscht werden muss. |
| Sensorname | String | – | Nein | Geben Sie den Namen des Sensors an, in dem Sie eine unter Quarantäne gestellte E‑Mail löschen möchten. Wenn hier nichts angegeben ist, versucht die Aktion, den Sensor automatisch zu finden. |
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion sollte nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen: if status code 200 and response is not empty: "Email with queue id {0} was not deleted. Grund: {1}“. Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, fehlender Verbindung zum Server usw.: „Fehler beim Ausführen der Aktion ‚E‑Mail in Quarantäne löschen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Sensor nicht automatisch gefunden wird: „Fehler beim Ausführen der Aktion ‚E‑Mail in Quarantäne löschen‘. Grund: Der Sensor für die FireEye EX-Appliance wurde nicht gefunden. Geben Sie ihn bitte manuell im Parameter „Sensor Name“ (Sensorname) an.“.format(error.Stacktrace) Wenn ein ungültiger Sensor angegeben wird: „Fehler beim Ausführen der Aktion ‚E‑Mail in Quarantäne löschen‘. Grund: Der Sensor mit dem Namen {0} für die FireEye EX-Appliance wurde nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.''.format(error.Stacktrace) |
Allgemein |
Warnungsartefakte herunterladen
Beschreibung
Laden Sie Benachrichtigungsartefakte aus Trellix Central Management herunter.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-UUID | String | – | Ja | Geben Sie die UUID der Benachrichtigung an, aus der wir Artefakte herunterladen müssen. |
| Download-Ordnerpfad | String | – | Ja | Geben Sie den absoluten Pfad zu dem Ordner an, in dem die Dateien gespeichert werden sollen. |
| Überschreiben | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird die vorhandene Datei mit demselben Pfad durch die Aktion überschrieben. |
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
file_path = {absolute file path to the file}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Wenn die Datei mit diesem Pfad bereits vorhanden ist (is_success = false): „Die Aktion konnte keine Trellix Central Management-Benachrichtigungsartefakte mit der Benachrichtigungs-ID {0} herunterladen. Grund: Eine Datei mit diesem Pfad ist bereits vorhanden.“ if status code 404 (is_success = false): „Artifacts for alert with uuid {0} were not found. “. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
IOC-Feeds auflisten
Beschreibung
Listet verfügbare IOC-Feeds in Trellix Central Management auf.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Maximale Anzahl zurückzugebender IOC-Feeds | String | 50 | Nein | Geben Sie an, wie viele IOC-Feeds zurückgegeben werden sollen. Der Standardwert ist 50. |
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"customFeedInfo": [
{
"feedName": "ad",
"status": "Feed processed",
"feedType": "url",
"uploadDate": "2020/10/13 10:32:28",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 3
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "adasdasdas",
"status": "Feed processed",
"feedType": "domain",
"uploadDate": "2020/10/13 10:34:29",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 3
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "qweqwe",
"status": "Feed processed",
"feedType": "ip",
"uploadDate": "2020/10/13 10:16:31",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 3
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
}
]
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Wenn keine Einträge gefunden wurden: „No IOC feeds were found in Trellix Central Management“ (Es wurden keine IOC-Feeds in Trellix Central Management gefunden) Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname:Verfügbare IOC-Feeds Tabellenspalten: Name Status Typ Aktion Kommentar Anzahl der IP-Adressen Anzahl der URLs Anzahl der Domains Anzahl der Hashes Hochgeladen am |
Allgemein |
Regel zur Datei mit benutzerdefinierten Regeln hinzufügen
Beschreibung
Fügen Sie der Datei mit benutzerdefinierten Regeln in Trellix Central Management eine neue Regel hinzu.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Regel | String | – | Ja | Geben Sie die Regel an, die der Datei mit benutzerdefinierten Regeln hinzugefügt werden muss. |
| Sensorname | String | – | Nein | Geben Sie den Namen des Sensors an, dem Sie eine neue Regel hinzufügen möchten. Wenn hier nichts angegeben ist, versucht die Aktion, den Sensor automatisch zu finden. |
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen: Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn der Sensor nicht automatisch gefunden wird: „Fehler beim Ausführen der Aktion ‚Regel zur Datei mit benutzerdefinierten Regeln hinzufügen‘. Grund: Der Sensor für die FireEye NX-Appliance wurde nicht gefunden. Geben Sie ihn bitte manuell im Parameter „Sensor Name“ (Sensorname) an.“.format(error.Stacktrace) Wenn ein ungültiger Sensor angegeben wird: „Fehler beim Ausführen der Aktion ‚Regel zur benutzerdefinierten Regelfile hinzufügen‘. Grund: Der Sensor mit dem Namen {0} für die FireEye NX-Appliance wurde nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.''.format(error.Stacktrace) |
Allgemein |
Benachrichtigung bestätigen
Beschreibung
Bestätigen Sie die Benachrichtigung in Trellix Central Management.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-UUID | String | – | Ja | Geben Sie die UUID der Benachrichtigung an, die bestätigt werden muss. |
| Anmerkung | String | – | Ja | Geben Sie die Anmerkung an, in der der Grund für die Bestätigung erläutert wird. |
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: if status code 404 (is_success = false): "Action wasn't able to acknowledge Trellix Central Management alert with ID {0}. Grund: Die Benachrichtigung mit der ID {0} wurde nicht gefunden. “. Bei Statuscode 400 (is_success = false): „Die Aktion konnte die Trellix Central Management-Benachrichtigung mit der ID {0} nicht bestätigen. Grund: {1} Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Datei mit benutzerdefinierten Regeln herunterladen
Beschreibung
Laden Sie die Datei mit benutzerdefinierten Regeln aus Trellix Central Management herunter.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Sensorname | String | – | Nein | Geben Sie den Namen des Sensors an, dem Sie eine neue Regel hinzufügen möchten. Wenn hier nichts angegeben ist, versucht die Aktion, den Sensor automatisch zu finden. |
| Download-Ordnerpfad | String | – | Ja | Geben Sie den absoluten Pfad zu dem Ordner an, in den die Datei heruntergeladen werden soll. |
| Überschreiben | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird die vorhandene Datei mit demselben Pfad durch die Aktion überschrieben. |
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
File Path = "absolute path to the file"
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen: Wenn der Statuscode 500 oder 400 lautet (is_success = false): „Die benutzerdefinierte Regeldatei konnte nicht von der Appliance ‚{0}‘ in Trellix Central Management heruntergeladen werden. Grund: {1}“. Wenn der Sensor nicht automatisch gefunden wird: „Fehler beim Ausführen der Aktion ‚Datei mit benutzerdefinierten Regeln herunterladen‘. Grund: Der Sensor für die FireEye NX-Appliance wurde nicht gefunden. Geben Sie ihn bitte manuell im Parameter „Sensor Name“ (Sensorname) an.“.format(error.Stacktrace) Wenn ein ungültiger Sensor angegeben wird: „Fehler beim Ausführen der Aktion ‚Datei mit benutzerdefinierten Regeln herunterladen‘. Grund: Der Sensor mit dem Namen {0} für die FireEye NX-Appliance wurde nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.''.format(error.Stacktrace) |
Allgemein |
Connectors
FireEye CM – Alerts Connector
Beschreibung
Der Connector nimmt Trellix Central Management-Warnungen in Google SecOps auf. Dazu gehören auch Benachrichtigungen, die von FireEye NX- und EX-Appliances generiert werden.
FireEye CM – Alerts Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Sensor | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | eventType | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
Feldname der Umgebung |
String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
Regex-Muster für Umgebung |
String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://x.x.x.x:x | Ja | API-Stammverzeichnis des Trellix Central Management-Servers. |
| Nutzername | String | – | Ja | Nutzername des Trellix Central Management-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort für das Trellix Central Management-Konto. |
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Benachrichtigungen abgerufen werden sollen. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird das SSL-Zertifikat für die Verbindung zum Trellix Central Management-Server geprüft. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten