FireEye CM

Versi integrasi: 9.0

Kasus Penggunaan

  1. Menyerap pemberitahuan Trellix Central Management untuk menggunakannya dalam membuat pemberitahuan Google Security Operations. Selanjutnya, di Google SecOps, pemberitahuan dapat digunakan untuk melakukan orkestrasi dengan playbook atau analisis manual.
  2. Lakukan tindakan aktif - download artefak pemberitahuan menggunakan agen Trellix Central Management dari Google SecOps, buat aturan, feed IOC

Mengonfigurasi integrasi FireEye CM di Google SecOps

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Nama Instance String T/A Tidak Nama Instance yang ingin Anda konfigurasi integrasinya.
Deskripsi String T/A Tidak Deskripsi Instance.
Root API String https://
:
 Ya Root API server Trellix Central Management.
Nama pengguna String T/A Ya Nama pengguna akun Trellix Central Management.
Sandi Sandi T/A Ya Sandi akun Trellix Central Management.
Verifikasi SSL Kotak centang Dicentang Ya Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Trellix Central Management valid.
Menjalankan dari Jarak Jauh Kotak centang Tidak dicentang Tidak Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen).

Tindakan

Ping

Deskripsi

Uji konektivitas ke Trellix Central Management dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Run On

Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

jika berhasil:
Cetak "Successfully connected to the Trellix Central Management server with the provided connection parameters!"

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika tidak berhasil:

Mencetak "Gagal terhubung ke server Trellix Central Management! Error adalah {0}".format(exception.stacktrace)

 Umum

Menambahkan Feed IOC

Deskripsi

Menambahkan feed IOC di Trellix Central Management berdasarkan entitas. Hanya hash MD5 dan SHA256 yang didukung.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Tindakan DDL

Pemberitahuan

Nilai yang Mungkin Muncul

Pemberitahuan

Blokir

 Ya Tentukan tindakan yang harus dilakukan untuk feed baru.
Komentar String T/A Tidak Tentukan komentar tambahan untuk feed.
Mengekstrak Domain Kotak centang T/A Ya Jika diaktifkan, tindakan akan mengekstrak bagian domain dari URL dan menggunakannya untuk membuat feed IOC.

Run On

Tindakan ini berjalan di entity berikut:

  • Alamat IP
  • URL
  • HASH (MD5/SHA256)

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

if status kode 200 untuk setidaknya satu jenis entitas(is_success = true):
Print "Successfully added new IOC feeds to Trellix Central Management based on the following entities: \n".format(entity.identifier)

if some of the entity types were not used properly (is_success =true) :
Print "Action wasn't able to create new IOC feeds in Trellix Central Management based on the following entities:\n).format(entity.identifier)

Jika tidak ada entitas yang berhasil digunakan untuk pembuatan feed: (is_success=false)
Cetak "No IOC feeds were created in Trellix Central Management!"

Tindakan akan gagal dan menghentikan eksekusi playbook:

jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya:

Mencetak "Error saat menjalankan tindakan "Tambahkan Feed IOC". Alasan: {0}''.format(error.Stacktrace)

 Umum

Menghapus Feed IOC

Deskripsi

Menghapus feed IOC di Trellix Central Management.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Nama Feed String T/A Ya Tentukan nama feed yang perlu dihapus.

Run On

Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika kode status 200 dan feedName tidak ditemukan dalam daftar (is_success = true): "Berhasil menghapus feed '{0}' di Trellix Central Management".

if status code 200 and feedName was found in the list for last request (is_success = false): "Tindakan tidak dapat menghapus feed '{0}' di Trellix Central Management.

Jika awalnya nama feed tidak ada "Tindakan tidak dapat menghapus feed IOC di Trellix Central Management". Alasan: Feed "{feed_name}" tidak ditemukan.

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Hapus Feed IOC". Alasan: {0}''.format(error.Stacktrace)

 Umum

Mencantumkan Email yang Dikarantina

Deskripsi

Mencantumkan email yang dikarantina. Memerlukan FireEye EX yang terhubung ke Trellix Central Management.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Waktu Mulai String T/A Tidak Jika ditentukan, hanya email yang dibuat setelah waktu mulai yang akan ditampilkan. Jika Waktu Mulai dan Waktu Berakhir tidak ditentukan, tindakan akan menampilkan email yang dikarantina dalam 24 jam terakhir. Format: YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM
Waktu Berakhir String T/A Tidak Jika ditentukan, hanya email yang dibuat sebelum waktu berakhir yang akan ditampilkan. Jika Waktu Mulai dan Waktu Berakhir tidak ditentukan, tindakan akan menampilkan email yang dikarantina dalam 24 jam terakhir. Format: YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM
Filter Pengirim String T/A Tidak Jika ditentukan, hanya menampilkan semua email yang dikarantina dari pengirim ini.
Filter Subjek String T/A Tidak Jika ditentukan, hanya menampilkan semua email yang dikarantina dengan subjek ini.
Jumlah Email Maksimum yang Akan Ditampilkan String 50 Tidak Tentukan jumlah email yang akan ditampilkan. Batasnya adalah 10000. Ini adalah batasan Trellix Central Management.
Run On

Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Hasil JSON
[
    {
        "completed_at": "2020-06-09T08:21:17",
        "email_uuid": "x-x-x-x-x",
        "quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
        "subject": "qwe",
        "message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
        "from": "xxxx.xxxx2@xxxx-xxx.xxxx",
        "queue_id": "49h33n3HZczxNgc"
    },
    {
        "completed_at": "2020-06-09T08:21:42",
        "email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
        "quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
        "subject": "rew",
        "message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
        "from": "xxxx.xxxx2@xxxx-xxx.xxxx",
        "queue_id": "49h34G5TVczxNgg"
    }
]
Repositori Kasus
Jenis hasil Nilai/Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika data tersedia (is_success = true): "Successfully listed Trellix Central Management quarantined emails!"

jika tidak ada data yang tersedia (is_success = true): "Tidak ada email yang dikarantina yang ditemukan di Trellix Central Management!"

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "List Quarantined Emails". Alasan: {0}''.format(error.Stacktrace)

 Umum
Tabel repositori kasus

Nama: Email yang Dikarantina

Kolom:

  • Pengirim
  • Subjek
  • Selesai Pada
  • UUID Email
  • ID Pesan
  • ID Antrean

Melepaskan Email yang Dikarantina

Deskripsi

Melepaskan email yang dikarantina. Memerlukan FireEye EX yang terhubung ke Trellix Central Management.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
ID Antrean String T/A Ya Tentukan ID antrean email yang perlu dirilis.
Nama Sensor String T/A Tidak Tentukan nama sensor, tempat Anda ingin melepaskan email yang dikarantina. Jika tidak ada yang ditentukan di sini, tindakan akan mencoba menemukan sensor secara otomatis.

Run On

Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika kode status 200 dan respons kosong (is_success = true): "Successfully released Trellix Central Management quarantined email with queue id {0}!".

if status code 200 and response is not empty (is_success = false): "Email dengan ID antrean {0} tidak dirilis. Alasan: {1}".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Lepaskan Email yang Dikarantina". Alasan: {0}''.format(error.Stacktrace)

Jika Sensor tidak ditemukan secara otomatis: "Error saat menjalankan tindakan "Lepaskan Email yang Dikarantina". Alasan: Sensor untuk appliance FireEye EX tidak ditemukan. Berikan secara manual dalam parameter 'Nama Sensor'.''.format(error.Stacktrace)

Jika Sensor tidak valid diberikan: "Error saat menjalankan tindakan "Lepaskan Email yang Dikarantina". Alasan: Sensor dengan nama {0} untuk appliance FireEye EX tidak ditemukan. Periksa ejaan.''.format(error.Stacktrace)

 Umum

Mendownload Email yang Dikarantina

Deskripsi

Mendownload email yang dikarantina. Memerlukan FireEye EX yang terhubung ke Trellix Central Management.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
ID Antrean String T/A Ya Tentukan ID antrean email yang perlu didownload.
Jalur Folder Download String T/A Ya Tentukan jalur absolut ke folder tempat tindakan harus menyimpan file.
Timpa Kotak centang Ya Ya Jika diaktifkan, tindakan akan menimpa file yang ada dengan jalur yang sama.
Nama Sensor String T/A Tidak Tentukan nama sensor, tempat Anda ingin mendownload email yang dikarantina. Jika tidak ada yang ditentukan di sini, tindakan akan mencoba menemukan sensor secara otomatis.

Run On

Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Hasil JSON
file_path = {absolute file path to the file}
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika kode status 200 dan tidak ada xml (is_success = true): "Berhasil mendownload email yang dikarantina Trellix Central Management dengan ID antrean {0}!".

if status code 200 and xml in the response (is_success = false): "Email dengan ID antrean {0} tidak didownload. Alasan: {1}".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Download Email yang Dikarantina". Alasan: {0}''.format(error.Stacktrace)

Jika Sensor tidak ditemukan secara otomatis: "Error saat menjalankan tindakan "Download Email yang Dikarantina". Alasan: Sensor untuk appliance FireEye EX tidak ditemukan. Berikan secara manual dalam parameter 'Nama Sensor'.''.format(error.Stacktrace)

Jika Sensor tidak valid diberikan: "Error saat menjalankan tindakan "Download Email yang Dikarantina". Alasan: Sensor dengan nama {0} untuk appliance FireEye EX tidak ditemukan. Periksa ejaan.''.format(error.Stacktrace)

 Umum

Menghapus Email yang Dikarantina

Deskripsi

Menghapus email yang dikarantina. Memerlukan FireEye EX yang terhubung ke Trellix Central Management.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
ID Antrean String T/A Ya Tentukan ID antrean email yang perlu dihapus.
Nama Sensor String T/A Tidak Tentukan nama sensor, tempat Anda ingin menghapus email yang dikarantina. Jika tidak ada yang ditentukan di sini, tindakan akan mencoba menemukan sensor secara otomatis.

Run On

Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika kode status 200 dan respons kosong (is_success = true): "Successfully deleted Trellix Central Management quarantined email with queue id {0}!".

Tindakan harus gagal dan menghentikan eksekusi playbook:

if status code 200 and response is not empty: "Email dengan ID antrean {0} tidak dihapus. Alasan: {1}".

jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Hapus Email yang Dikarantina". Alasan: {0}''.format(error.Stacktrace)

Jika Sensor tidak ditemukan secara otomatis: "Error executing action "Delete Quarantined Email". Alasan: Sensor untuk appliance FireEye EX tidak ditemukan. Berikan secara manual dalam parameter 'Nama Sensor'.''.format(error.Stacktrace)

Jika Sensor tidak valid diberikan: "Error saat menjalankan tindakan "Hapus Email yang Dikarantina". Alasan: Sensor dengan nama {0} untuk appliance FireEye EX tidak ditemukan. Periksa ejaan.''.format(error.Stacktrace)

 Umum

Mendownload Artefak Pemberitahuan

Deskripsi

Download artefak pemberitahuan dari Trellix Central Management.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
UUID pemberitahuan String T/A Ya Tentukan UUID pemberitahuan dari tempat kita perlu mendownload artefak.
Jalur Folder Download String T/A Ya Tentukan jalur absolut ke folder tempat tindakan harus menyimpan file.
Timpa Kotak centang Dicentang Ya Jika diaktifkan, tindakan akan menimpa file yang ada dengan jalur yang sama.

Run On

Tindakan tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Hasil JSON
file_path = {absolute file path to the file}
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika kode status 200 (is_success = true): "Successfully downloaded Trellix Central Management alert artifacts with alert id {0}!".

Jika file dengan jalur tersebut sudah ada (is_success = false): "Tindakan tidak dapat mendownload artefak pemberitahuan Trellix Central Management dengan ID pemberitahuan {0}. Alasan: File dengan jalur tersebut sudah ada."

if status code 404 (is_success = false): "Artifacts for alert with uuid {0} were not found. ".

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Download Artefak Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)

 Umum

Mencantumkan Feed IOC

Deskripsi

Mencantumkan feed IOC yang tersedia di Trellix Central Management.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Jumlah Maksimum Feed IOC yang Akan Ditampilkan String 50 Tidak Tentukan jumlah feed IOC yang akan ditampilkan. Default-nya adalah 50.

Run On

Tindakan tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Hasil JSON
{
    "customFeedInfo": [
        {
            "feedName": "ad",
            "status": "Feed processed",
            "feedType": "url",
            "uploadDate": "2020/10/13 10:32:28",
            "feedAction": "alert",
            "feedSource": "",
            "contentMeta": [
                {
                    "contentType": "ip",
                    "feedCount": 0
                },
                {
                    "contentType": "domain",
                    "feedCount": 0
                },
                {
                    "contentType": "url",
                    "feedCount": 3
                },
                {
                    "contentType": "hash",
                    "feedCount": 0
                }
            ]
        },
        {
            "feedName": "adasdasdas",
            "status": "Feed processed",
            "feedType": "domain",
            "uploadDate": "2020/10/13 10:34:29",
            "feedAction": "alert",
            "feedSource": "",
            "contentMeta": [
                {
                    "contentType": "ip",
                    "feedCount": 0
                },
                {
                    "contentType": "domain",
                    "feedCount": 3
                },
                {
                    "contentType": "url",
                    "feedCount": 0
                },
                {
                    "contentType": "hash",
                    "feedCount": 0
                }
            ]
        },
        {
            "feedName": "qweqwe",
            "status": "Feed processed",
            "feedType": "ip",
            "uploadDate": "2020/10/13 10:16:31",
            "feedAction": "alert",
            "feedSource": "",
            "contentMeta": [
                {
                    "contentType": "ip",
                    "feedCount": 3
                },
                {
                    "contentType": "domain",
                    "feedCount": 0
                },
                {
                    "contentType": "url",
                    "feedCount": 0
                },
                {
                    "contentType": "hash",
                    "feedCount": 0
                }
            ]
        }
    ]
}
Repositori Kasus
Jenis hasil Nilai/Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika kode status 200 (is_success = true): "Berhasil mencantumkan feed IOC yang tersedia di Trellix Central Management".

Jika tidak ada entri yang ditemukan: "No IOC feeds were found in Trellix Central Management" (Tidak ada feed IOC yang ditemukan di Trellix Central Management)

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "List IOC Feeds". Alasan: {0}''.format(error.Stacktrace)

 Umum
Tabel Repositori Kasus

Nama Tabel: Feed IOC yang Tersedia

Kolom Tabel:

Nama

Status

Jenis

Tindakan

Komentar

Jumlah IP

Jumlah URL

Jumlah Domain

Jumlah Hash

Diunggah Pada

Umum

Menambahkan Aturan Ke File Aturan Kustom

Deskripsi

Tambahkan aturan baru ke file aturan kustom di Trellix Central Management.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Aturan String T/A Ya Tentukan aturan yang perlu ditambahkan ke file aturan kustom.
Nama Sensor String T/A Tidak Tentukan nama sensor tempat Anda ingin menambahkan aturan baru. Jika tidak ada yang ditentukan di sini, tindakan akan mencoba menemukan sensor secara otomatis.

Run On

Tindakan tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika kode status 200 dan file telah diperbarui (is_success = true): "Successfully added rule to custom rules file in '{0}' appliance in Trellix Central Management !".

jika kode status 500 (is_success = false): "Action wasn't able to add a rule to the custom rules file in Trellix Central Management. Alasan: {0}).

Tindakan akan gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Tambahkan Aturan Ke Aturan Kustom". Alasan: {0}''.format(error.Stacktrace)

Jika Sensor tidak ditemukan secara otomatis: "Error saat menjalankan tindakan "Tambahkan Aturan Ke File Aturan Kustom". Alasan: Sensor untuk perangkat FireEye NX tidak ditemukan. Berikan secara manual dalam parameter 'Nama Sensor'.''.format(error.Stacktrace)

Jika Sensor tidak valid diberikan: "Error executing action "Add Rule To Custom Rules File". Alasan: Sensor dengan nama {0} untuk perangkat FireEye NX tidak ditemukan. Periksa ejaannya.''.format(error.Stacktrace)

 Umum

Konfirmasi Notifikasi

Deskripsi

Konfirmasi notifikasi di Trellix Central Management.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
UUID pemberitahuan String T/A Ya Tentukan UUID pemberitahuan yang perlu dikonfirmasi.
Anotasi String T/A Ya Tentukan anotasi yang menjelaskan alasan pengakuan.

Run On

Tindakan tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika kode status 200 (is_success = true): "Berhasil mengonfirmasi pemberitahuan Trellix Central Management dengan ID {0}!".

if status code 404 (is_success = false): "Tindakan tidak dapat mengonfirmasi pemberitahuan Trellix Central Management dengan ID {0}. Alasan: Pemberitahuan dengan ID {0} tidak ditemukan. ".

If status code 400 (is_success = false): "Action wasn't able to acknowledge Trellix Central Management alert with ID {0}. Alasan: {1} ".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat menjalankan tindakan "Acknowledge Alert". Alasan: {0}''.format(error.Stacktrace)

 Umum

Mendownload File Aturan Kustom

Deskripsi

Download file aturan kustom dari Trellix Central Management.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Diisi Deskripsi
Nama Sensor String T/A Tidak Tentukan nama sensor tempat Anda ingin menambahkan aturan baru. Jika tidak ada yang ditentukan di sini, tindakan akan mencoba menemukan sensor secara otomatis.
Jalur Folder Download String T/A Ya Tentukan jalur absolut ke folder tempat file akan didownload.
Timpa Kotak centang Dicentang Ya Jika diaktifkan, tindakan akan menimpa file yang ada dengan jalur yang sama.

Run On

Tindakan tidak dijalankan pada entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai
is_success is_success=False
is_success is_success=True
Hasil JSON
File Path = "absolute path to the file"
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:
jika kode status 200 (is_success = true): "Successfully downloaded custom rules file from appliance '{0}' in Trellix Central Management !".

Jika kode status 500 atau 400 (is_success = false): "Action wasn't able to download custom rules file from appliance '{0}' in Trellix Central Management. Alasan: {1}".

Tindakan harus gagal dan menghentikan eksekusi playbook:
jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: "Error saat mengeksekusi tindakan "Download Custom Rules File". Alasan: {0}''.format(error.Stacktrace)

Jika Sensor tidak ditemukan secara otomatis: "Error saat menjalankan tindakan "Download Custom Rules File". Alasan: Sensor untuk perangkat FireEye NX tidak ditemukan. Berikan secara manual dalam parameter 'Nama Sensor'.''.format(error.Stacktrace)

Jika Sensor tidak valid diberikan: "Error saat menjalankan tindakan "Download File Aturan Kustom". Alasan: Sensor dengan nama {0} untuk perangkat FireEye NX tidak ditemukan. Periksa ejaan.''.format(error.Stacktrace)

 Umum

Konektor

FireEye CM - Alerts Connector

Deskripsi

Konektor menyerap pemberitahuan Trellix Central Management ke Google SecOps. Hal ini mencakup pemberitahuan yang dihasilkan oleh perangkat FireEye NX dan EX.

Mengonfigurasi FireEye CM - Alerts Connector di Google SecOps

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
Nama Kolom Produk String sensor Ya Masukkan nama kolom sumber untuk mengambil nama Kolom Produk.
Nama Kolom Peristiwa String eventType Ya Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa.

Nama Kolom Lingkungan

 String "" Tidak

Mendeskripsikan nama kolom tempat nama lingkungan disimpan.

Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default.

Pola Regex Lingkungan

 String .* Tidak

Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan".

Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan.

Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex.

Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik) Bilangan bulat 180 Ya Batas waktu untuk proses python yang menjalankan skrip saat ini.
Root API String https://x.x.x.x:x Ya Root API server Trellix Central Management.
Nama pengguna String T/A Ya Nama pengguna akun Trellix Central Management.
Sandi Sandi T/A Ya Sandi akun Trellix Central Management.
Mengambil Mundur Jam Maksimum Bilangan bulat 1 Tidak Jumlah jam dari tempat pengambilan pemberitahuan.
Verifikasi SSL Kotak centang Dicentang Ya Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Trellix Central Management valid.
Menggunakan daftar yang diizinkan sebagai daftar blokir Kotak centang Tidak dicentang Ya Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir.
Alamat Server Proxy String T/A Tidak Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy String T/A Tidak Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy Sandi T/A Tidak Sandi proxy untuk mengautentikasi.

Aturan Konektor

Dukungan proxy

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.