FireEye CM
Versión de integración: 9.0
Casos prácticos
- Ingiere alertas de Trellix Central Management para crear alertas de Google Security Operations. A continuación, en Google SecOps, las alertas se pueden usar para realizar orquestaciones con guías o análisis manuales.
- Realizar acciones activas: descargar artefactos de alertas mediante el agente de gestión centralizada de Trellix de Google SecOps, crear una regla o feeds de IOC
Configurar la integración de FireEye CM en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Raíz de la API | Cadena | https://: |
Sí | Raíz de la API del servidor de gestión centralizada de Trellix. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de gestión centralizada de Trellix. |
| Contraseña | Contraseña | N/A | Sí | La contraseña de la cuenta de gestión centralizada de Trellix. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión con el servidor de gestión central de Trellix es válido. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con Trellix Central Management con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: Imprime "No se ha podido conectar con el servidor de gestión central de Trellix. Error: {0}".format(exception.stacktrace) |
General |
Añadir feed de IOCs
Descripción
Añade un feed de IOC en Trellix Central Management en función de las entidades. Solo se admiten los hashes MD5 y SHA256.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Acción | DDL | Alerta Valor posible Alerta Bloquear |
Sí | Especifica la acción que se debe realizar con el nuevo feed. |
| Comentario | Cadena | N/A | No | Especifique comentarios adicionales sobre el feed. |
| Extraer dominio | Casilla | N/A | Sí | Si se habilita, la acción extraerá la parte del dominio de la URL y la usará para crear un feed de IOCs. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- URL
- HASH (MD5/SHA256)
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el código de estado es 200 para al menos un tipo de entidad(is_success = true): Si algunos de los tipos de entidad no se han usado correctamente (is_success =true) : Si no se ha usado ninguna de las entidades para crear el feed (is_success=false): La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Añadir feed de IOC". Motivo: {0}''.format(error.Stacktrace) |
General |
Eliminar feed de IOC
Descripción
Elimine el feed de IOC en Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del feed | Cadena | N/A | Sí | Especifica el nombre del feed que se va a eliminar. |
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si el código de estado es 200 y se ha encontrado feedName en la lista de la última solicitud (is_success = false): "No se ha podido eliminar el feed '{0}' en Trellix Central Management. Si el nombre del feed no existe inicialmente, se mostrará el mensaje "Action wasn't able to delete IOC feed in Trellix Central Management" (No se ha podido eliminar el feed de IOC en Trellix Central Management). Motivo: No se ha encontrado el feed "{feed_name}". La acción debería fallar y detener la ejecución de un libro de jugadas: |
General |
Mostrar correos en cuarentena
Descripción
Lista de correos puestos en cuarentena. Requiere que FireEye EX esté conectado a Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Hora de inicio | Cadena | N/A | No | Si se especifica, solo se devolverán los correos creados después de la hora de inicio. Si no se especifican las horas de inicio y de finalización, la acción devuelve los correos en cuarentena de las últimas 24 horas. Formato: AAAA-MM-DD'T'HH:MM:SS.SSS-HHMM |
| Hora de finalización | Cadena | N/A | No | Si se especifica, solo se devolverán los correos creados antes de la hora de finalización. Si no se especifican las horas de inicio y de finalización, la acción devuelve los correos en cuarentena de las últimas 24 horas. Formato: AAAA-MM-DD'T'HH:MM:SS.SSS-HHMM |
| Filtro de remitente | Cadena | N/A | No | Si se especifica, devuelve todos los correos en cuarentena solo de este remitente. |
| Filtro por asunto | Cadena | N/A | No | Si se especifica, devuelve todos los correos en cuarentena que tengan este asunto. |
| Número máximo de correos que se devolverán | Cadena | 50 | No | Especifica cuántos correos se van a devolver. El límite es de 10.000. Se trata de una limitación de Trellix Central Management. |
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "x-x-x-x-x",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias: Si no hay datos disponibles (is_success = true): "No se han encontrado correos en cuarentena en Trellix Central Management". La acción debería fallar y detener la ejecución de un playbook: |
General |
| Tabla del panel de casos | Nombre: correos en cuarentena Columnas:
|
Liberar correo puesto en cuarentena
Descripción
Libera el correo puesto en cuarentena. Requiere que FireEye EX esté conectado a Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de cola | Cadena | N/A | Sí | Especifica el ID de la cola del correo que se debe liberar. |
| Nombre del sensor | Cadena | N/A | No | Especifica el nombre del sensor en el que quieras liberar un correo en cuarentena. Si no se especifica nada, la acción intentará encontrar el sensor automáticamente. |
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si el código de estado es 200 y la respuesta no está vacía (is_success = false): "No se ha enviado el correo con el ID de cola {0}. Motivo: {1}". La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si el sensor no se encuentra automáticamente: "Error al ejecutar la acción "Liberar correo en cuarentena". Motivo: no se ha encontrado el sensor del dispositivo FireEye EX. Indícalo manualmente en el parámetro "Sensor Name".''.format(error.Stacktrace) Si se proporciona un sensor no válido: "Error al ejecutar la acción "Liberar correo en cuarentena". Motivo: no se ha encontrado el sensor con el nombre {0} para el dispositivo FireEye EX. Comprueba la ortografía.''.format(error.Stacktrace) |
General |
Descargar correo en cuarentena
Descripción
Descargar correo en cuarentena. Requiere que FireEye EX esté conectado a Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de cola | Cadena | N/A | Sí | Especifica el ID de la cola del correo que se debe descargar. |
| Ruta de la carpeta de descargas | Cadena | N/A | Sí | Especifica la ruta absoluta a la carpeta en la que la acción debe guardar los archivos. |
| Sobrescribir | Casilla | Sí | Sí | Si está habilitada, la acción sobrescribirá el archivo con la misma ruta. |
| Nombre del sensor | Cadena | N/A | No | Especifica el nombre del sensor en el que quieras descargar un correo en cuarentena. Si no se especifica nada, la acción intentará encontrar el sensor automáticamente. |
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
file_path = {absolute file path to the file}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si el código de estado es 200 y hay XML en la respuesta (is_success = false): "No se ha descargado el correo con el ID de cola {0}. Motivo: {1}". La acción debería fallar y detener la ejecución de un libro de jugadas: Si el sensor no se encuentra automáticamente: "Error al ejecutar la acción "Descargar correo en cuarentena". Motivo: no se ha encontrado el sensor del dispositivo FireEye EX. Indícalo manualmente en el parámetro "Sensor Name".''.format(error.Stacktrace) Si se proporciona un sensor no válido: "Error al ejecutar la acción "Descargar correo en cuarentena". Motivo: no se ha encontrado el sensor con el nombre {0} para el dispositivo FireEye EX. Comprueba la ortografía.''.format(error.Stacktrace) |
General |
Eliminar correo en cuarentena
Descripción
Eliminar correo en cuarentena. Requiere que FireEye EX esté conectado a Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de cola | Cadena | N/A | Sí | Especifica el ID de la cola del correo que se debe eliminar. |
| Nombre del sensor | Cadena | N/A | No | Especifica el nombre del sensor en el que quieras eliminar un correo en cuarentena. Si no se especifica nada, la acción intentará encontrar el sensor automáticamente. |
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si el código de estado es 200 y la respuesta no está vacía: "No se ha eliminado el correo con el ID de cola {0}. Motivo: {1}". Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Eliminar correo en cuarentena". Motivo: {0}''.format(error.Stacktrace) Si el sensor no se encuentra automáticamente: "Error al ejecutar la acción "Eliminar correo en cuarentena". Motivo: no se ha encontrado el sensor del dispositivo FireEye EX. Indícalo manualmente en el parámetro "Sensor Name".''.format(error.Stacktrace) Si se proporciona un sensor no válido: "Error al ejecutar la acción "Eliminar correo en cuarentena". Motivo: no se ha encontrado el sensor con el nombre {0} para el dispositivo FireEye EX. Comprueba la ortografía.''.format(error.Stacktrace) |
General |
Descargar artefactos de alerta
Descripción
Descarga artefactos de alertas de Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| UUID de alerta | Cadena | N/A | Sí | Especifica el UUID de la alerta desde la que tenemos que descargar los artefactos. |
| Ruta de la carpeta de descargas | Cadena | N/A | Sí | Especifica la ruta absoluta a la carpeta en la que la acción debe guardar los archivos. |
| Sobrescribir | Casilla | Marcada | Sí | Si está habilitada, la acción sobrescribirá el archivo con la misma ruta. |
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
file_path = {absolute file path to the file}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si ya existe un archivo con esa ruta (is_success = false): "No se ha podido descargar el artefacto de alerta de Trellix Central Management con el ID de alerta {0}. Motivo: ya existe un archivo con esa ruta." Si el código de estado es 404 (is_success = false): "No se han encontrado los artefactos de la alerta con el UUID {0}. ". La acción debería fallar y detener la ejecución de un libro de jugadas: |
General |
Listar feeds de IOCs
Descripción
Lista los feeds de IOCs disponibles en Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número máximo de feeds de IOC que se devolverán | Cadena | 50 | No | Especifica cuántos feeds de IOC se deben devolver. El valor predeterminado es 50. |
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"customFeedInfo": [
{
"feedName": "ad",
"status": "Feed processed",
"feedType": "url",
"uploadDate": "2020/10/13 10:32:28",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 3
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "adasdasdas",
"status": "Feed processed",
"feedType": "domain",
"uploadDate": "2020/10/13 10:34:29",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 3
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "qweqwe",
"status": "Feed processed",
"feedType": "ip",
"uploadDate": "2020/10/13 10:16:31",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 3
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
}
]
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si no se ha encontrado ninguna entrada: "No se han encontrado feeds de indicadores de compromiso en Trellix Central Management" La acción debería fallar y detener la ejecución de un libro de jugadas: |
General |
| Tabla del panel de casos | Nombre de la tabla: Available IOC Feeds Columnas de tabla: Nombre Estado Tipo Acción Comentario Número de IPs Número de URLs Número de dominios Número de hashes Subido el |
General |
Añadir regla al archivo de reglas personalizadas
Descripción
Añade una regla nueva al archivo de reglas personalizadas en Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Regla | Cadena | N/A | Sí | Especifique la regla que se debe añadir al archivo de reglas personalizadas. |
| Nombre del sensor | Cadena | N/A | No | Especifica el nombre del sensor en el que quieras añadir una nueva regla. Si no se especifica nada, la acción intentará encontrar el sensor automáticamente. |
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si el sensor no se encuentra automáticamente: "Error al ejecutar la acción "Add Rule To Custom Rules File". Motivo: no se ha encontrado el sensor del dispositivo FireEye NX. Indícalo manualmente en el parámetro "Sensor Name".''.format(error.Stacktrace) Si se proporciona un sensor no válido: "Error al ejecutar la acción "Añadir regla al archivo de reglas personalizadas". Motivo: no se ha encontrado el sensor con el nombre {0} para el dispositivo FireEye NX. Comprueba la ortografía.''.format(error.Stacktrace) |
General |
Confirmar alerta
Descripción
Confirma la alerta en Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| UUID de alerta | Cadena | N/A | Sí | Especifica el UUID de la alerta que se debe confirmar. |
| Anotación | Cadena | N/A | Sí | Especifica la anotación que explica el motivo de la confirmación. |
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si el código de estado es 404 (is_success = false): "No se ha podido confirmar la alerta de Trellix Central Management con el ID {0}. Motivo: No se ha encontrado la alerta con el ID {0}. ". Si el código de estado es 400 (is_success = false): "No se ha podido confirmar la alerta de Trellix Central Management con el ID {0}. Motivo: {1} ". La acción debería fallar y detener la ejecución de un cuaderno de estrategias: |
General |
Descargar archivo de reglas personalizadas
Descripción
Descargue el archivo de reglas personalizadas de Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del sensor | Cadena | N/A | No | Especifica el nombre del sensor en el que quieras añadir una nueva regla. Si no se especifica nada, la acción intentará encontrar el sensor automáticamente. |
| Ruta de la carpeta de descargas | Cadena | N/A | Sí | Especifica la ruta absoluta a la carpeta en la que se debe descargar el archivo. |
| Sobrescribir | Casilla | Marcada | Sí | Si está habilitada, la acción sobrescribirá el archivo con la misma ruta. |
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
File Path = "absolute path to the file"
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si el código de estado es 500 o 400 (is_success = false): "Action wasn't able to download custom rules file from appliance '{0}' in Trellix Central Management. Motivo: {1}". Si el sensor no se encuentra automáticamente: "Error al ejecutar la acción "Descargar archivo de reglas personalizadas". Motivo: no se ha encontrado el sensor del dispositivo FireEye NX. Indícalo manualmente en el parámetro "Sensor Name".''.format(error.Stacktrace) Si se proporciona un sensor no válido: "Error al ejecutar la acción "Descargar archivo de reglas personalizadas". Motivo: no se ha encontrado el sensor con el nombre {0} para el dispositivo FireEye NX. Comprueba la ortografía.''.format(error.Stacktrace) |
General |
Conectores
FireEye CM - Alerts Connector
Descripción
El conector ingiere alertas de Trellix Central Management en Google SecOps. Esto incluye las alertas generadas por los dispositivos FireEye NX y EX.
Configurar FireEye CM - Alerts Connector en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | sensor | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | eventType | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
Nombre del campo de entorno |
Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
Patrón de expresión regular del entorno |
Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://x.x.x.x:x | Sí | Raíz de la API del servidor de gestión centralizada de Trellix. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de gestión centralizada de Trellix. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de gestión centralizada de Trellix. |
| Fetch Max Hours Backwards | Entero | 1 | No | Número de horas desde las que se obtienen las alertas. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión con el servidor de gestión central de Trellix es válido. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si está habilitada, la lista de permitidos se usará como lista de denegados. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxies
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.