Administrador de cuentas de FireEye
Versión de integración: 9.0
Casos de uso
- Ingiere alertas de Trellix Central Management para usarlas y crear alertas de Google Security Operations. A continuación, en Google SecOps, se pueden usar las alertas para realizar orquestaciones con guías o análisis manuales.
- Realizar acciones activas: descargar artefactos de alertas con el agente de administración central de Trellix de Google SecOps, crear una regla y feeds de IOC
Configura la integración de FireEye CM en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | String | https://: |
Sí | Es la raíz de la API del servidor de administración central de Trellix. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Trellix Central Management. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Trellix Central Management. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Trellix Central Management sea válido. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con Trellix Central Management con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ejecuta correctamente: La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente, haz lo siguiente: Imprime el mensaje "No se pudo conectar al servidor de administración central de Trellix". Error is {0}".format(exception.stacktrace) |
General |
Agregar feed de IOC
Descripción
Se agregó el feed de IOC en Trellix Central Management basado en entidades. Solo se admiten los hashes MD5 y SHA256.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Acción | DDL | Alerta Valor posible Alerta Bloquear |
Sí | Especifica cuál debería ser la acción para el feed nuevo. |
| Comentario | String | N/A | No | Especifica comentarios adicionales para el feed. |
| Extraer dominio | Casilla de verificación | N/A | Sí | Si está habilitada, la acción extraerá la parte del dominio de la URL y la usará para crear el feed de IOC. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- URL
- HASH (MD5/SHA256)
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: if status code 200 for at least one entity type(is_success = true): if some of the entity types were not used properly (is_success =true) : Si ninguna de las entidades se usó correctamente para la creación del feed: (is_success=false) La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: Imprime "Error executing action "Add IOC Feed". Reason: {0}''.format(error.Stacktrace) |
General |
Borra el feed de IOC
Descripción
Borra el feed de IOC en Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Nombre del feed | String | N/A | Sí | Especifica el nombre del feed que se debe borrar. |
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: if status code 200 and feedName was found in the list for last request (is_success = false): "Action wasn't able to delete feed '{0}' in Trellix Central Management. Si, inicialmente, el nombre del feed no existe, se mostrará el mensaje "Action wasn't able to delete IOC feed in Trellix Central Management". Motivo: No se encontró el feed "{feed_name}". La acción debe fallar y detener la ejecución de un playbook: |
General |
Enumera los correos electrónicos en cuarentena
Descripción
Enumera los correos electrónicos en cuarentena. Requiere que FireEye EX esté conectado a Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Hora de inicio | String | N/A | No | Si se especifica, solo se devolverán los correos electrónicos que se crearon después de la hora de inicio. Si no se especifican la hora de inicio y la hora de finalización, la acción devolverá los correos electrónicos en cuarentena de las últimas 24 horas. Formato: AAAA-MM-DD"T"HH:MM:SS.SSS-HHMM |
| Hora de finalización | String | N/A | No | Si se especifica, solo se devolverán los correos electrónicos que se crearon antes de la hora de finalización. Si no se especifican la hora de inicio y la hora de finalización, la acción devolverá los correos electrónicos en cuarentena de las últimas 24 horas. Formato: AAAA-MM-DD"T"HH:MM:SS.SSS-HHMM |
| Filtro de remitente | String | N/A | No | Si se especifica, devuelve todos los correos electrónicos en cuarentena solo de este remitente. |
| Filtro de asunto | String | N/A | No | Si se especifica, devuelve todos los correos electrónicos en cuarentena solo con este asunto. |
| Cantidad máxima de correos electrónicos que se pueden devolver | String | 50 | No | Especifica cuántos correos electrónicos se devolverán. El límite es 10,000. Esta es una limitación de Trellix Central Management. |
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "x-x-x-x-x",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si no hay datos disponibles (is_success = true): "No se encontraron correos electrónicos en cuarentena en Trellix Central Management". La acción debe fallar y detener la ejecución de un playbook: |
General |
| Tabla del muro de casos | Name: Correos electrónicos en cuarentena Columnas:
|
Cómo liberar un correo electrónico en cuarentena
Descripción
Libera el correo electrónico en cuarentena. Requiere que FireEye EX esté conectado a Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID de cola | String | N/A | Sí | Especifica el ID de la cola del correo electrónico que se debe liberar. |
| Nombre del sensor | String | N/A | No | Especifica el nombre del sensor en el que deseas liberar un correo electrónico en cuarentena. Si no se especifica nada aquí, la acción intentará encontrar el sensor automáticamente. |
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: if status code 200 and response is not empty (is_success = false): "No se lanzó el correo electrónico con el ID de la cola {0}. Motivo: {1}". La acción debe fallar y detener la ejecución de un playbook: Si no se encuentra el sensor automáticamente: "Error al ejecutar la acción "Liberar correo electrónico en cuarentena". Motivo: No se encontró el sensor del dispositivo FireEye EX. Proporciónalo de forma manual en el parámetro "Sensor Name".''.format(error.Stacktrace) Si se proporciona un sensor no válido, se muestra el mensaje "Error al ejecutar la acción "Release Quarantined Email"". Motivo: No se encontró el sensor con el nombre {0} para el dispositivo FireEye EX. Revisa la ortografía''.format(error.Stacktrace) |
General |
Descargar el correo electrónico en cuarentena
Descripción
Descarga el correo electrónico en cuarentena. Requiere que FireEye EX esté conectado a Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID de cola | String | N/A | Sí | Especifica el ID de la fila del correo electrónico que se debe descargar. |
| Ruta de acceso a la carpeta de descarga | String | N/A | Sí | Especifica la ruta de acceso absoluta a la carpeta en la que la acción debe guardar los archivos. |
| Reemplazar | Casilla de verificación | Sí | Sí | Si está habilitada, la acción reemplazará el archivo existente con la misma ruta de acceso. |
| Nombre del sensor | String | N/A | No | Especifica el nombre del sensor en el que deseas descargar un correo electrónico en cuarentena. Si no se especifica nada aquí, la acción intentará encontrar el sensor automáticamente. |
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
file_path = {absolute file path to the file}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: if status code 200 and xml in the response (is_success = false): "No se descargó el correo electrónico con el ID de la cola {0}. Motivo: {1}". La acción debe fallar y detener la ejecución de un playbook: Si no se encuentra el sensor automáticamente: "Error al ejecutar la acción "Descargar correo electrónico en cuarentena". Motivo: No se encontró el sensor del dispositivo FireEye EX. Proporciónalo de forma manual en el parámetro "Sensor Name".''.format(error.Stacktrace) Si se proporciona un sensor no válido: "Error al ejecutar la acción "Descargar correo electrónico en cuarentena". Motivo: No se encontró el sensor con el nombre {0} para el dispositivo FireEye EX. Revisa la ortografía''.format(error.Stacktrace) |
General |
Borrar correo electrónico en cuarentena
Descripción
Borrar el correo electrónico en cuarentena Requiere que FireEye EX esté conectado a Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID de cola | String | N/A | Sí | Especifica el ID de la cola del correo electrónico que se debe borrar. |
| Nombre del sensor | String | N/A | No | Especifica el nombre del sensor en el que deseas borrar un correo electrónico en cuarentena. Si no se especifica nada aquí, la acción intentará encontrar el sensor automáticamente. |
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: if status code 200 and response is not empty: "No se borró el correo electrónico con el ID de la cola {0}. Motivo: {1}". Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Borrar correo electrónico en cuarentena"". Reason: {0}''.format(error.Stacktrace) Si no se encuentra el sensor automáticamente: "Error al ejecutar la acción "Borrar correo electrónico en cuarentena". Motivo: No se encontró el sensor del dispositivo FireEye EX. Proporciónalo de forma manual en el parámetro "Sensor Name".''.format(error.Stacktrace) Si se proporciona un sensor no válido, se mostrará el mensaje "Error al ejecutar la acción "Borrar correo electrónico en cuarentena"". Motivo: No se encontró el sensor con el nombre {0} para el dispositivo FireEye EX. Revisa la ortografía''.format(error.Stacktrace) |
General |
Descarga artefactos de alertas
Descripción
Descarga artefactos de alertas desde Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| UUID de alerta | String | N/A | Sí | Especifica el UUID de la alerta desde la que necesitamos descargar artefactos. |
| Ruta de acceso a la carpeta de descarga | String | N/A | Sí | Especifica la ruta de acceso absoluta a la carpeta en la que la acción debe guardar los archivos. |
| Reemplazar | Casilla de verificación | Marcado | Sí | Si está habilitada, la acción reemplazará el archivo existente con la misma ruta de acceso. |
Ejecutar en
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
file_path = {absolute file path to the file}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si ya existe un archivo con esa ruta de acceso (is_success = false): "No se pudieron descargar los artefactos de alerta de Trellix Central Management con el ID de alerta {0}. Reason: File with that path already exists." if status code 404 (is_success = false): "No se encontraron artefactos para la alerta con UUID {0}. ". La acción debe fallar y detener la ejecución de un playbook: |
General |
Enumera feeds de IOC
Descripción
Enumera los feeds de IOC disponibles en Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Cantidad máxima de feeds de IOC que se pueden devolver | String | 50 | No | Especifica cuántos feeds de IOC se deben devolver. El valor predeterminado es 50. |
Ejecutar en
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"customFeedInfo": [
{
"feedName": "ad",
"status": "Feed processed",
"feedType": "url",
"uploadDate": "2020/10/13 10:32:28",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 3
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "adasdasdas",
"status": "Feed processed",
"feedType": "domain",
"uploadDate": "2020/10/13 10:34:29",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 3
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "qweqwe",
"status": "Feed processed",
"feedType": "ip",
"uploadDate": "2020/10/13 10:16:31",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 3
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
}
]
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se encontraron entradas: "No se encontraron feeds de IOC en Trellix Central Management" La acción debería fallar y detener la ejecución de un playbook: |
General |
| Tabla del muro de casos | Nombre de la tabla: Feeds de IOC disponibles Columnas de la tabla: Nombre Estado Tipo Acción Comentario Recuento de IPs Recuento de URLs Cantidad de dominios Recuento de hash Fecha de carga |
General |
Agregar regla al archivo de reglas personalizadas
Descripción
Agrega una regla nueva al archivo de reglas personalizadas en Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Regla | String | N/A | Sí | Especifica la regla que se debe agregar al archivo de reglas personalizadas. |
| Nombre del sensor | String | N/A | No | Especifica el nombre del sensor en el que deseas agregar una regla nueva. Si no se especifica nada aquí, la acción intentará encontrar el sensor automáticamente. |
Ejecutar en
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: La acción debe fallar y detener la ejecución de un playbook: Si el sensor no se encuentra automáticamente: "Error al ejecutar la acción "Add Rule To Custom Rules File". Motivo: No se encontró el sensor del dispositivo FireEye NX. Proporciónalo de forma manual en el parámetro "Sensor Name".''.format(error.Stacktrace) Si se proporciona un sensor no válido: "Error al ejecutar la acción "Add Rule To Custom Rules File". Motivo: No se encontró el sensor con el nombre {0} para el dispositivo FireEye NX. Verifica la ortografía''.format(error.Stacktrace) |
General |
Confirmar alerta
Descripción
Confirma la alerta en Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| UUID de alerta | String | N/A | Sí | Especifica el UUID de la alerta que se debe confirmar. |
| Anotación | String | N/A | Sí | Especifica la anotación que explica el motivo del reconocimiento. |
Ejecutar en
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: if status code 404 (is_success = false): "No se pudo confirmar la alerta de Trellix Central Management con el ID {0}. Motivo: No se encontró la alerta con el ID {0}. ". Si el código de estado es 400 (is_success = false): "No se pudo confirmar la alerta de Trellix Central Management con el ID {0}. Motivo: {1} ". La acción debería fallar y detener la ejecución de un playbook: |
General |
Descarga el archivo de reglas personalizadas
Descripción
Descarga el archivo de reglas personalizadas desde Trellix Central Management.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Nombre del sensor | String | N/A | No | Especifica el nombre del sensor en el que deseas agregar una regla nueva. Si no se especifica nada aquí, la acción intentará encontrar el sensor automáticamente. |
| Ruta de acceso a la carpeta de descarga | String | N/A | Sí | Especifica la ruta de acceso absoluta a la carpeta en la que se debe descargar el archivo. |
| Reemplazar | Casilla de verificación | Marcado | Sí | Si está habilitada, la acción reemplazará el archivo existente con la misma ruta de acceso. |
Ejecutar en
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
File Path = "absolute path to the file"
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si el código de estado es 500 o 400 (is_success = false): "La acción no pudo descargar el archivo de reglas personalizadas del dispositivo "{0}" en Trellix Central Management. Motivo: {1}". Si no se encuentra el sensor automáticamente: "Error al ejecutar la acción "Descargar archivo de reglas personalizadas". Motivo: No se encontró el sensor del dispositivo FireEye NX. Proporciónalo de forma manual en el parámetro "Sensor Name".''.format(error.Stacktrace) Si se proporciona un sensor no válido: "Error al ejecutar la acción "Descargar archivo de reglas personalizadas". Motivo: No se encontró el sensor con el nombre {0} para el dispositivo FireEye NX. Revisa la ortografía''.format(error.Stacktrace) |
General |
Conectores
FireEye CM - Alerts Connector
Descripción
El conector transfiere las alertas de Trellix Central Management a Google SecOps. Esto incluye las alertas generadas por los dispositivos FireEye NX y EX.
Configura el conector de alertas de FireEye CM en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | sensor | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | eventType | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
Nombre del campo del entorno |
String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
Patrón de regex del entorno |
String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://x.x.x.x:x | Sí | Es la raíz de la API del servidor de administración central de Trellix. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Trellix Central Management. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Trellix Central Management. |
| Recuperar horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperan las alertas. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Trellix Central Management sea válido. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.