FireEye CM
Versione integrazione: 9.0
Casi d'uso
- Importa gli avvisi di Trellix Central Management per utilizzarli per creare avvisi di Google Security Operations. Successivamente, in Google SecOps, gli avvisi possono essere utilizzati per eseguire orchestrazioni con playbook o analisi manuali.
- Esegui azioni attive: scarica gli artefatti degli avvisi utilizzando l'agente Trellix Central Management da Google SecOps, crea una regola, feed IOC
Configura l'integrazione di FireEye CM in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Root API | Stringa | https://: |
Sì | Radice dell'API del server di gestione centrale Trellix. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Trellix Central Management. |
| Password | Password | N/D | Sì | La password dell'account Trellix Central Management. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server di gestione centrale Trellix sia valido. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Dindin
Descrizione
Verifica la connettività a Trellix Central Management con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire o interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: L'azione deve non riuscire e interrompere l'esecuzione di un playbook: if not successful: Stampa "Impossibile connettersi al server di gestione centrale Trellix. Error is {0}".format(exception.stacktrace) |
Generale |
Aggiungi feed IOC
Descrizione
Aggiungi il feed IOC in Trellix Central Management in base alle entità. Sono supportati solo gli hash MD5 e SHA256.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Azione | DDL | Avviso Valore possibile Avviso Blocca |
Sì | Specifica l'azione da eseguire per il nuovo feed. |
| Commento | Stringa | N/D | No | Specifica commenti aggiuntivi per il feed. |
| Estrai dominio | Casella di controllo | N/D | Sì | Se abilitata, l'azione estrae la parte del dominio dall'URL e la utilizza per creare il feed IOC. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- URL
- HASH (MD5/SHA256)
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire o interrompere l'esecuzione di un playbook: if status code 200 for at least one entity type(is_success = true): if some of the entity types were not used properly (is_success =true) : Se nessuna delle entità è stata utilizzata correttamente per la creazione del feed: (is_success=false) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: Stampa "Errore durante l'esecuzione dell'azione "Aggiungi feed IOC". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Elimina feed IOC
Descrizione
Elimina il feed IOC in Trellix Central Management.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome feed | Stringa | N/D | Sì | Specifica il nome del feed da eliminare. |
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: se il codice di stato 200 e feedName sono stati trovati nell'elenco per l'ultima richiesta (is_success = false): "L'azione non è riuscita a eliminare il feed "{0}" in Trellix Central Management. Se inizialmente il nome del feed non esiste "L'azione non è riuscita a eliminare il feed IOC in Trellix Central Management". Motivo: il feed "{feed_name}" non è stato trovato. L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
Elenco email in quarantena
Descrizione
Elenca le email in quarantena. Richiede FireEye EX connesso a Trellix Central Management.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Ora di inizio | Stringa | N/D | No | Se specificato, verranno restituite solo le email create dopo l'ora di inizio. Se non vengono specificati l'ora di inizio e l'ora di fine, l'azione restituisce le email in quarantena delle ultime 24 ore. Formato: AAAA-MM-GG'T'HH:MM:SS.SSS-HHMM |
| Ora di fine | Stringa | N/D | No | Se specificato, verranno restituite solo le email create prima dell'ora di fine. Se non vengono specificati l'ora di inizio e l'ora di fine, l'azione restituisce le email in quarantena delle ultime 24 ore. Formato: AAAA-MM-GG'T'HH:MM:SS.SSS-HHMM |
| Filtro mittente | Stringa | N/D | No | Se specificato, restituisce tutte le email in quarantena solo di questo mittente. |
| Filtro per oggetto | Stringa | N/D | No | Se specificato, restituisce tutte le email in quarantena solo con questo oggetto. |
| Numero massimo di email da restituire | Stringa | 50 | No | Specifica il numero di email da restituire. Il limite è 10.000. Si tratta di una limitazione di Trellix Central Management. |
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "x-x-x-x-x",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: se non sono disponibili dati (is_success = true): "Non sono state trovate email in quarantena in Trellix Central Management" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
| Tabella della bacheca casi | Nome: Email in quarantena Colonne:
|
Rilasciare l'email in quarantena
Descrizione
Rilascia l'email messa in quarantena. Richiede FireEye EX connesso a Trellix Central Management.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID coda | Stringa | N/D | Sì | Specifica l'ID coda dell'email da rilasciare. |
| Nome sensore | Stringa | N/D | No | Specifica il nome del sensore in cui vuoi rilasciare un'email in quarantena. Se non viene specificato nulla, l'azione tenterà di trovare automaticamente il sensore. |
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if status code 200 and response is not empty (is_success = false): "Email with queue id {0} was not released. Motivo: {1}". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se il sensore non viene trovato automaticamente: "Errore durante l'esecuzione dell'azione "Rilascia email in quarantena". Motivo: sensore per l'appliance FireEye EX non trovato. Forniscilo manualmente nel parametro "Nome sensore".''.format(error.Stacktrace) Se viene fornito un sensore non valido: "Errore durante l'esecuzione dell'azione "Rilascia email in quarantena". Motivo: sensore con nome {0} per l'appliance FireEye EX non trovato. Controlla l'ortografia.".format(error.Stacktrace) |
Generale |
Scarica email in quarantena
Descrizione
Scarica l'email messa in quarantena. Richiede FireEye EX connesso a Trellix Central Management.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID coda | Stringa | N/D | Sì | Specifica l'ID coda dell'email da scaricare. |
| Percorso cartella di download | Stringa | N/D | Sì | Specifica il percorso assoluto della cartella in cui l'azione deve salvare i file. |
| Sovrascrivi | Casella di controllo | Sì | Sì | Se abilitata, l'azione sovrascriverà il file esistente con lo stesso percorso. |
| Nome sensore | Stringa | N/D | No | Specifica il nome del sensore da cui vuoi scaricare un'email in quarantena. Se non viene specificato nulla, l'azione tenterà di trovare automaticamente il sensore. |
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
file_path = {absolute file path to the file}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if status code 200 and xml in the response (is_success = false): "Email with queue id {0} was not downloaded. Motivo: {1}". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se il sensore non viene trovato automaticamente: "Errore durante l'esecuzione dell'azione "Scarica email in quarantena". Motivo: sensore per l'appliance FireEye EX non trovato. Forniscilo manualmente nel parametro "Nome sensore".''.format(error.Stacktrace) Se viene fornito un sensore non valido: "Errore durante l'esecuzione dell'azione "Scarica email in quarantena". Motivo: sensore con nome {0} per l'appliance FireEye EX non trovato. Controlla l'ortografia.".format(error.Stacktrace) |
Generale |
Elimina email in quarantena
Descrizione
Elimina l'email in quarantena. Richiede FireEye EX connesso a Trellix Central Management.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID coda | Stringa | N/D | Sì | Specifica l'ID coda dell'email da eliminare. |
| Nome sensore | Stringa | N/D | No | Specifica il nome del sensore in cui vuoi eliminare un'email in quarantena. Se non viene specificato nulla, l'azione tenterà di trovare automaticamente il sensore. |
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if status code 200 and response is not empty: "Email with queue id {0} was not deleted. Motivo: {1}". if fatal error, like wrong credentials, no connection to server, other: "Error executing action "Delete Quarantined Email". Motivo: {0}''.format(error.Stacktrace) Se il sensore non viene trovato automaticamente: "Errore durante l'esecuzione dell'azione "Elimina email in quarantena". Motivo: sensore per l'appliance FireEye EX non trovato. Forniscilo manualmente nel parametro "Nome sensore".''.format(error.Stacktrace) Se viene fornito un sensore non valido: "Errore durante l'esecuzione dell'azione "Elimina email in quarantena". Motivo: sensore con nome {0} per l'appliance FireEye EX non trovato. Controlla l'ortografia.".format(error.Stacktrace) |
Generale |
Scarica artefatti avviso
Descrizione
Scarica gli artefatti degli avvisi da Trellix Central Management.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| UUID avviso | Stringa | N/D | Sì | Specifica l'UUID dell'avviso da cui dobbiamo scaricare gli artefatti. |
| Percorso cartella di download | Stringa | N/D | Sì | Specifica il percorso assoluto della cartella in cui l'azione deve salvare i file. |
| Sovrascrivi | Casella di controllo | Selezionata | Sì | Se abilitata, l'azione sovrascriverà il file esistente con lo stesso percorso. |
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
file_path = {absolute file path to the file}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se il file con questo percorso esiste già (is_success = false): "Action wasn't able to download Trellix Central Management alert artifacts with alert id {0}. Motivo: esiste già un file con questo percorso." if status code 404 (is_success = false): "Artifacts for alert with uuid {0} were not found. ". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
List IOC Feeds
Descrizione
Elenca i feed IOC disponibili in Trellix Central Management.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Numero massimo di feed IOC da restituire | Stringa | 50 | No | Specifica il numero di feed IOC da restituire. Il valore predefinito è 50. |
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
{
"customFeedInfo": [
{
"feedName": "ad",
"status": "Feed processed",
"feedType": "url",
"uploadDate": "2020/10/13 10:32:28",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 3
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "adasdasdas",
"status": "Feed processed",
"feedType": "domain",
"uploadDate": "2020/10/13 10:34:29",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 3
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "qweqwe",
"status": "Feed processed",
"feedType": "ip",
"uploadDate": "2020/10/13 10:16:31",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 3
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
}
]
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se non sono state trovate voci: "Nessun feed IOC trovato in Trellix Central Management" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
| Tabella Bacheca casi | Nome tabella: Feed IOC disponibili Colonne della tabella: Nome Stato Tipo Azione Commento Conteggio IP Conteggio URL Conteggio domini Conteggio hash Data/ora caricamento |
Generale |
Aggiungere una regola al file di regole personalizzate
Descrizione
Aggiungi una nuova regola al file delle regole personalizzate in Trellix Central Management.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Regola | Stringa | N/D | Sì | Specifica la regola da aggiungere al file delle regole personalizzate. |
| Nome sensore | Stringa | N/D | No | Specifica il nome del sensore a cui vuoi aggiungere una nuova regola. Se non viene specificato nulla, l'azione tenterà di trovare automaticamente il sensore. |
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se il sensore non viene trovato automaticamente: "Errore durante l'esecuzione dell'azione "Aggiungi regola al file di regole personalizzate". Motivo: il sensore per l'appliance FireEye NX non è stato trovato. Forniscilo manualmente nel parametro "Nome sensore".''.format(error.Stacktrace) Se viene fornito un sensore non valido: "Errore durante l'esecuzione dell'azione "Aggiungi regola al file di regole personalizzate". Motivo: sensore con nome {0} per l'appliance FireEye NX non trovato. Controlla l'ortografia.".format(error.Stacktrace) |
Generale |
Conferma avviso
Descrizione
Conferma l'avviso in Trellix Central Management.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| UUID avviso | Stringa | N/D | Sì | Specifica l'UUID dell'avviso, che deve essere confermato. |
| Annotazione | Stringa | N/D | Sì | Specifica l'annotazione che spiega il motivo della conferma. |
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if status code 404 (is_success = false): "Action wasn't able to acknowledge Trellix Central Management alert with ID {0}. Motivo: avviso con ID {0} non trovato. ". Se il codice di stato è 400 (is_success = false): "L'azione non è riuscita a riconoscere l'avviso di Trellix Central Management con ID {0}. Motivo: {1} ". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: |
Generale |
Scarica il file delle regole personalizzate
Descrizione
Scarica il file delle regole personalizzate da Trellix Central Management.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome sensore | Stringa | N/D | No | Specifica il nome del sensore a cui vuoi aggiungere una nuova regola. Se non viene specificato nulla, l'azione tenterà di trovare automaticamente il sensore. |
| Percorso cartella di download | Stringa | N/D | Sì | Specifica il percorso assoluto della cartella in cui deve essere scaricato il file. |
| Sovrascrivi | Casella di controllo | Selezionata | Sì | Se abilitata, l'azione sovrascriverà il file esistente con lo stesso percorso. |
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Risultato JSON
File Path = "absolute path to the file"
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se il codice di stato è 500 o 400 (is_success = false): "L'azione non è riuscita a scaricare il file di regole personalizzate dall'appliance "{0}" in Trellix Central Management. Motivo: {1}". Se il sensore non viene trovato automaticamente: "Errore durante l'esecuzione dell'azione "Scarica file di regole personalizzate". Motivo: il sensore per l'appliance FireEye NX non è stato trovato. Forniscilo manualmente nel parametro "Nome sensore".''.format(error.Stacktrace) Se viene fornito un sensore non valido: "Errore durante l'esecuzione dell'azione "Scarica file di regole personalizzate". Motivo: sensore con nome {0} per l'appliance FireEye NX non trovato. Controlla l'ortografia.".format(error.Stacktrace) |
Generale |
Connettori
FireEye CM - Alerts Connector
Descrizione
Il connettore inserisce gli avvisi di Trellix Central Management in Google SecOps. Sono inclusi gli avvisi generati dalle appliance FireEye NX ed EX.
Configura il connettore di avvisi FireEye CM in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | sensore | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | eventType | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
Nome campo ambiente |
Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
Pattern regex dell'ambiente |
Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://x.x.x.x:x | Sì | Radice API del server di gestione centrale di Trellix. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Trellix Central Management. |
| Password | Password | N/D | Sì | Password dell'account Trellix Central Management. |
| Recupero ore massime a ritroso | Numero intero | 1 | No | Quantità di ore da cui recuperare gli avvisi. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server di gestione centrale Trellix sia valido. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.