Esta página foi traduzida pela API Cloud Translation.

FireEye CM

Versão da integração: 9.0

Exemplos de utilização

Ingira alertas da gestão central da Trellix para os usar na criação de alertas do Google Security Operations. Em seguida, no Google SecOps, os alertas podem ser usados para realizar orquestrações com manuais de procedimentos ou análises manuais.
Realizar ações ativas: transferir artefactos de alertas através do agente de gestão central da Trellix a partir do Google SecOps, criar uma regra, feeds de IOC

Configure a integração do FireEye CM no Google SecOps

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome da instância	String	N/A	Não	Nome da instância para a qual pretende configurar a integração.
Descrição	String	N/A	Não	Descrição da instância.
Raiz da API	String	https:// :	Sim	Raiz da API do servidor de gestão central da Trellix.
Nome de utilizador	String	N/A	Sim	Nome de utilizador da conta de gestão central da Trellix.
Palavra-passe	Palavra-passe	N/A	Sim	A palavra-passe da conta de gestão central da Trellix.
Validar SSL	Caixa de verificação	Marcado	Sim	Se estiver ativada, valide se o certificado SSL para a ligação ao servidor de gestão central da Trellix é válido.
Executar remotamente	Caixa de verificação	Desmarcado	Não	Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente).

Ações

Tchim-tchim

Descrição

Teste a conetividade à gestão central da Trellix com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: se for bem-sucedida: imprima "Ligação bem-sucedida ao servidor de gestão central da Trellix com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: se não for bem-sucedido: Imprima "Failed to connect to the Trellix Central Management server! O erro é {0}".format(exception.stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

se for bem-sucedida:
imprima "Ligação bem-sucedida ao servidor de gestão central da Trellix com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um guia interativo:

se não for bem-sucedido:

Imprima "Failed to connect to the Trellix Central Management server! O erro é {0}".format(exception.stacktrace)

Geral

Adicione um feed de IOC

Descrição

Adicione o feed de IOC no Trellix Central Management com base em entidades. Apenas são suportados hashes MD5 e SHA256.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Ação	LDD	Alerta Valor possível Alerta Bloquear	Sim	Especifique qual deve ser a ação para o novo feed.
Comentário	String	N/A	Não	Especifique comentários adicionais para o feed.
Extraia o domínio	Caixa de verificação	N/A	Sim	Se estiver ativada, a ação extrai a parte do domínio do URL e usa-a para criar um feed de IOCs.

Nome a apresentar do parâmetro

Tipo

Valor predefinido

É obrigatório

Descrição

Ação

LDD

Alerta

Valor possível

Alerta

Bloquear

Sim

Especifique qual deve ser a ação para o novo feed.

Comentário

String

N/A

Não

Especifique comentários adicionais para o feed.

Extraia o domínio

Caixa de verificação

N/A

Sim

Se estiver ativada, a ação extrai a parte do domínio do URL e usa-a para criar um feed de IOCs.

Executar em

Esta ação é executada nas seguintes entidades:

Endereço IP
URL
HASH (MD5/SHA256)

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: if status code 200 for at least one entity type(is_success = true): Print "Successfully added new IOC feeds to Trellix Central Management based on the following entities: \n".format(entity.identifier) if some of the entity types were not used properly (is_success =true) : Print "Action wasn't able to create new IOC feeds in Trellix Central Management based on the following entities:\n).format(entity.identifier) Se nenhuma das entidades foi usada com êxito para a criação de feeds: (is_success=false) Imprima "Não foram criados feeds de IOC no Trellix Central Management!" A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: Imprimir "Erro ao executar a ação "Adicionar feed de IOC". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

if status code 200 for at least one entity type(is_success = true):
Print "Successfully added new IOC feeds to Trellix Central Management based on the following entities: \n".format(entity.identifier)

if some of the entity types were not used properly (is_success =true) :
Print "Action wasn't able to create new IOC feeds in Trellix Central Management based on the following entities:\n).format(entity.identifier)

Se nenhuma das entidades foi usada com êxito para a criação de feeds: (is_success=false)
Imprima "Não foram criados feeds de IOC no Trellix Central Management!"

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro:

Imprimir "Erro ao executar a ação "Adicionar feed de IOC". Motivo: {0}''.format(error.Stacktrace)

Geral

Elimine o feed de IOC

Descrição

Elimine o feed de IOC na gestão central da Trellix.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do feed	String	N/A	Sim	Especifique o nome do feed que tem de ser eliminado.

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um playbook: se o código de estado for 200 e o feedName não tiver sido encontrado na lista (is_success = true): "O feed "{0}" foi eliminado com êxito na gestão central da Trellix!". Se o código de estado for 200 e o feedName tiver sido encontrado na lista do último pedido (is_success = false): "Não foi possível eliminar o feed "{0}" na gestão central da Trellix. Se inicialmente o nome do feed não existir "Não foi possível eliminar o feed de IOC na gestão central da Trellix". Motivo: não foi possível encontrar o feed "{feed_name}". A ação deve falhar e parar a execução de um manual de procedimentos: se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Eliminar feed de IOC". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se o código de estado for 200 e o feedName não tiver sido encontrado na lista (is_success = true): "O feed "{0}" foi eliminado com êxito na gestão central da Trellix!".

Se o código de estado for 200 e o feedName tiver sido encontrado na lista do último pedido (is_success = false): "Não foi possível eliminar o feed "{0}" na gestão central da Trellix.

Se inicialmente o nome do feed não existir "Não foi possível eliminar o feed de IOC na gestão central da Trellix". Motivo: não foi possível encontrar o feed "{feed_name}".

A ação deve falhar e parar a execução de um manual de procedimentos:
se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Eliminar feed de IOC". Motivo: {0}''.format(error.Stacktrace)

Geral

Apresentar emails em quarentena

Descrição

Liste os emails em quarentena. Requer o FireEye EX ligado à gestão central da Trellix.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Hora de início	String	N/A	Não	Se especificado, apenas são devolvidos os emails criados após a hora de início. Se a hora de início e a hora de fim não forem especificadas, a ação devolve emails em quarentena das últimas 24 horas. Formato: AAAA-MM-DD'T'HH:MM:SS.SSS-HHMM
Hora de fim	String	N/A	Não	Se especificado, apenas são devolvidos os emails criados antes da hora de fim. Se a hora de início e a hora de fim não forem especificadas, a ação devolve emails em quarentena das últimas 24 horas. Formato: AAAA-MM-DD'T'HH:MM:SS.SSS-HHMM
Filtro de remetente	String	N/A	Não	Se especificado, devolve todos os emails em quarentena apenas deste remetente.
Filtro de assunto	String	N/A	Não	Se especificado, devolve todos os emails em quarentena apenas com este assunto.
Número máximo de emails a devolver	String	50	Não	Especifique o número de emails a devolver. O limite é 10 000. Esta é uma limitação da gestão central da Trellix.

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado JSON

[
    {
        "completed_at": "2020-06-09T08:21:17",
        "email_uuid": "x-x-x-x-x",
        "quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
        "subject": "qwe",
        "message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
        "from": "xxxx.xxxx2@xxxx-xxx.xxxx",
        "queue_id": "49h33n3HZczxNgc"
    },
    {
        "completed_at": "2020-06-09T08:21:42",
        "email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
        "quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
        "subject": "rew",
        "message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
        "from": "xxxx.xxxx2@xxxx-xxx.xxxx",
        "queue_id": "49h34G5TVczxNgg"
    }
]

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um playbook: se os dados estiverem disponíveis (is_success = true): "Successfully listed Trellix Central Management quarantined emails!" (Listou com êxito os emails em quarentena do Trellix Central Management!) se não estiverem disponíveis dados (is_success = true): "Não foram encontrados emails em quarentena na gestão central da Trellix!" A ação deve falhar e parar a execução de um manual de procedimentos: se ocorrer um erro crítico, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Listar emails em quarentena". Motivo: {0}''.format(error.Stacktrace)	Geral
Mesa de parede para caixas	Nome: emails em quarentena Colunas: Remetente Assunto Concluído em UUID do email ID da mensagem ID da fila

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se os dados estiverem disponíveis (is_success = true): "Successfully listed Trellix Central Management quarantined emails!" (Listou com êxito os emails em quarentena do Trellix Central Management!)

se não estiverem disponíveis dados (is_success = true): "Não foram encontrados emails em quarentena na gestão central da Trellix!"

A ação deve falhar e parar a execução de um manual de procedimentos:
se ocorrer um erro crítico, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Listar emails em quarentena". Motivo: {0}''.format(error.Stacktrace)

Geral

Mesa de parede para caixas

Nome: emails em quarentena

Colunas:

Remetente
Assunto
Concluído em
UUID do email
ID da mensagem
ID da fila

Libertar email em quarentena

Descrição

Liberta o email em quarentena. Requer o FireEye EX ligado à gestão central da Trellix.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID da fila	String	N/A	Sim	Especifique o ID da fila do email que tem de ser libertado.
Nome do sensor	String	N/A	Não	Especifique o nome do sensor onde quer libertar um email em quarentena. Se nada for especificado aqui, a ação tenta encontrar o sensor automaticamente.

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um playbook: se o código de estado for 200 e a resposta estiver vazia (is_success = true): "Successfully released Trellix Central Management quarantined email with queue id {0}!". if status code 200 and response is not empty (is_success = false): "O email com o ID da fila {0} não foi lançado. Motivo: {1}". A ação deve falhar e parar a execução de um manual de procedimentos: se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Libertar email em quarentena". Motivo: {0}''.format(error.Stacktrace) Se o sensor não for encontrado automaticamente: "Erro ao executar a ação "Libertar email em quarentena". Motivo: não foi encontrado o sensor para o dispositivo FireEye EX. Indique-o manualmente no parâmetro "Nome do sensor".''.format(error.Stacktrace) Se for fornecido um sensor inválido: "Erro ao executar a ação "Libertar email em quarentena". Motivo: não foi encontrado o sensor com o nome {0} para o dispositivo FireEye EX. Verifique a ortografia.''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se o código de estado for 200 e a resposta estiver vazia (is_success = true): "Successfully released Trellix Central Management quarantined email with queue id {0}!".

if status code 200 and response is not empty (is_success = false): "O email com o ID da fila {0} não foi lançado. Motivo: {1}".

A ação deve falhar e parar a execução de um manual de procedimentos:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Libertar email em quarentena". Motivo: {0}''.format(error.Stacktrace)

Se o sensor não for encontrado automaticamente: "Erro ao executar a ação "Libertar email em quarentena". Motivo: não foi encontrado o sensor para o dispositivo FireEye EX. Indique-o manualmente no parâmetro "Nome do sensor".''.format(error.Stacktrace)

Se for fornecido um sensor inválido: "Erro ao executar a ação "Libertar email em quarentena". Motivo: não foi encontrado o sensor com o nome {0} para o dispositivo FireEye EX. Verifique a ortografia.''.format(error.Stacktrace)

Geral

Transfira o email em quarentena

Descrição

Transfira o email em quarentena. Requer o FireEye EX ligado à gestão central da Trellix.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID da fila	String	N/A	Sim	Especifique o ID da fila do email que tem de ser transferido.
Caminho da pasta de transferência	String	N/A	Sim	Especifique o caminho absoluto para a pasta onde a ação deve guardar os ficheiros.
Substituir	Caixa de verificação	Sim	Sim	Se estiver ativada, a ação substitui o ficheiro existente com o mesmo caminho.
Nome do sensor	String	N/A	Não	Especifique o nome do sensor a partir do qual quer transferir um email em quarentena. Se nada for especificado aqui, a ação tenta encontrar o sensor automaticamente.

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado JSON

file_path = {absolute file path to the file}

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um manual de procedimentos: se o código de estado for 200 e não houver XML (is_success = true): "Transferiu com êxito o email em quarentena do Trellix Central Management com o ID da fila {0}!". if status code 200 and xml in the response (is_success = false): "O email com o ID da fila {0} não foi transferido. Motivo: {1}". A ação deve falhar e parar a execução de um manual de procedimentos: se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Transferir email em quarentena". Motivo: {0}''.format(error.Stacktrace) Se o sensor não for encontrado automaticamente: "Erro ao executar a ação "Transferir email em quarentena". Motivo: não foi encontrado o sensor para o dispositivo FireEye EX. Indique-o manualmente no parâmetro "Nome do sensor".''.format(error.Stacktrace) Se for fornecido um sensor inválido: "Erro ao executar a ação "Transferir email em quarentena". Motivo: não foi encontrado o sensor com o nome {0} para o dispositivo FireEye EX. Verifique a ortografia.''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um manual de procedimentos:
se o código de estado for 200 e não houver XML (is_success = true): "Transferiu com êxito o email em quarentena do Trellix Central Management com o ID da fila {0}!".

if status code 200 and xml in the response (is_success = false): "O email com o ID da fila {0} não foi transferido. Motivo: {1}".

A ação deve falhar e parar a execução de um manual de procedimentos:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Transferir email em quarentena". Motivo: {0}''.format(error.Stacktrace)

Se o sensor não for encontrado automaticamente: "Erro ao executar a ação "Transferir email em quarentena". Motivo: não foi encontrado o sensor para o dispositivo FireEye EX. Indique-o manualmente no parâmetro "Nome do sensor".''.format(error.Stacktrace)

Se for fornecido um sensor inválido: "Erro ao executar a ação "Transferir email em quarentena". Motivo: não foi encontrado o sensor com o nome {0} para o dispositivo FireEye EX. Verifique a ortografia.''.format(error.Stacktrace)

Geral

Elimine o email em quarentena

Descrição

Elimine o email em quarentena. Requer o FireEye EX ligado à gestão central da Trellix.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID da fila	String	N/A	Sim	Especifique o ID da fila do email que tem de ser eliminado.
Nome do sensor	String	N/A	Não	Especifique o nome do sensor onde quer eliminar um email em quarentena. Se nada for especificado aqui, a ação tenta encontrar o sensor automaticamente.

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um livro de regras: se o código de estado for 200 e a resposta estiver vazia (is_success = true): "Successfully deleted Trellix Central Management quarantined email with queue id {0}!". A ação deve falhar e parar a execução de um livro de regras: if status code 200 and response is not empty: "O email com o ID da fila {0} não foi eliminado. Motivo: {1}". Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, ou outro: "Erro ao executar a ação "Eliminar email em quarentena". Motivo: {0}''.format(error.Stacktrace) Se o sensor não for encontrado automaticamente: "Erro ao executar a ação "Eliminar email em quarentena". Motivo: não foi encontrado o sensor para o dispositivo FireEye EX. Indique-o manualmente no parâmetro "Nome do sensor".''.format(error.Stacktrace) Se for fornecido um sensor inválido: "Erro ao executar a ação "Eliminar email em quarentena". Motivo: não foi encontrado o sensor com o nome {0} para o dispositivo FireEye EX. Verifique a ortografia.''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um livro de regras:
se o código de estado for 200 e a resposta estiver vazia (is_success = true): "Successfully deleted Trellix Central Management quarantined email with queue id {0}!".

A ação deve falhar e parar a execução de um livro de regras:

if status code 200 and response is not empty: "O email com o ID da fila {0} não foi eliminado. Motivo: {1}".

Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, ou outro: "Erro ao executar a ação "Eliminar email em quarentena". Motivo: {0}''.format(error.Stacktrace)

Se o sensor não for encontrado automaticamente: "Erro ao executar a ação "Eliminar email em quarentena". Motivo: não foi encontrado o sensor para o dispositivo FireEye EX. Indique-o manualmente no parâmetro "Nome do sensor".''.format(error.Stacktrace)

Se for fornecido um sensor inválido: "Erro ao executar a ação "Eliminar email em quarentena". Motivo: não foi encontrado o sensor com o nome {0} para o dispositivo FireEye EX. Verifique a ortografia.''.format(error.Stacktrace)

Geral

Transfira artefactos de alertas

Descrição

Transfira artefactos de alertas do Trellix Central Management.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
UUID do alerta	String	N/A	Sim	Especifique o UUID do alerta a partir do qual temos de transferir os artefactos.
Caminho da pasta de transferência	String	N/A	Sim	Especifique o caminho absoluto para a pasta onde a ação deve guardar os ficheiros.
Substituir	Caixa de verificação	Marcado	Sim	Se estiver ativada, a ação substitui o ficheiro existente com o mesmo caminho.

Executar em

A ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado JSON

file_path = {absolute file path to the file}

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um playbook: se o código de estado for 200 (is_success = true): "Successfully downloaded Trellix Central Management alert artifacts with alert id {0}!" (Transferiu com êxito os artefactos de alerta do Trellix Central Management com o ID de alerta {0}!). Se já existir um ficheiro com esse caminho (is_success = false): "Não foi possível transferir os artefactos de alerta do Trellix Central Management com o ID do alerta {0}. Motivo: já existe um ficheiro com esse caminho." if status code 404 (is_success = false): "Não foram encontrados artefactos para o alerta com o UUID {0}. ". A ação deve falhar e parar a execução de um manual de procedimentos: se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Transferir artefactos de alerta". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se o código de estado for 200 (is_success = true): "Successfully downloaded Trellix Central Management alert artifacts with alert id {0}!" (Transferiu com êxito os artefactos de alerta do Trellix Central Management com o ID de alerta {0}!).

Se já existir um ficheiro com esse caminho (is_success = false): "Não foi possível transferir os artefactos de alerta do Trellix Central Management com o ID do alerta {0}. Motivo: já existe um ficheiro com esse caminho."

if status code 404 (is_success = false): "Não foram encontrados artefactos para o alerta com o UUID {0}. ".

A ação deve falhar e parar a execução de um manual de procedimentos:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Transferir artefactos de alerta". Motivo: {0}''.format(error.Stacktrace)

Geral

Liste feeds de IOCs

Descrição

Liste os feeds de IOC disponíveis na gestão central da Trellix.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Máximo de feeds de IOC a devolver	String	50	Não	Especifique quantos feeds de IOCs devolver. A predefinição é 50.

Executar em

A ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado JSON

{
    "customFeedInfo": [
        {
            "feedName": "ad",
            "status": "Feed processed",
            "feedType": "url",
            "uploadDate": "2020/10/13 10:32:28",
            "feedAction": "alert",
            "feedSource": "",
            "contentMeta": [
                {
                    "contentType": "ip",
                    "feedCount": 0
                },
                {
                    "contentType": "domain",
                    "feedCount": 0
                },
                {
                    "contentType": "url",
                    "feedCount": 3
                },
                {
                    "contentType": "hash",
                    "feedCount": 0
                }
            ]
        },
        {
            "feedName": "adasdasdas",
            "status": "Feed processed",
            "feedType": "domain",
            "uploadDate": "2020/10/13 10:34:29",
            "feedAction": "alert",
            "feedSource": "",
            "contentMeta": [
                {
                    "contentType": "ip",
                    "feedCount": 0
                },
                {
                    "contentType": "domain",
                    "feedCount": 3
                },
                {
                    "contentType": "url",
                    "feedCount": 0
                },
                {
                    "contentType": "hash",
                    "feedCount": 0
                }
            ]
        },
        {
            "feedName": "qweqwe",
            "status": "Feed processed",
            "feedType": "ip",
            "uploadDate": "2020/10/13 10:16:31",
            "feedAction": "alert",
            "feedSource": "",
            "contentMeta": [
                {
                    "contentType": "ip",
                    "feedCount": 3
                },
                {
                    "contentType": "domain",
                    "feedCount": 0
                },
                {
                    "contentType": "url",
                    "feedCount": 0
                },
                {
                    "contentType": "hash",
                    "feedCount": 0
                }
            ]
        }
    ]
}

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um playbook: se o código de estado for 200 (is_success = true): "Successfully listed available IOC feeds in Trellix Central Management!" (Listou com êxito os feeds de IOC disponíveis na gestão central da Trellix!). Se não foram encontradas entradas: "Não foram encontrados feeds de IOCs na gestão central da Trellix" A ação deve falhar e parar a execução de um manual de procedimentos: se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "List IOC Feeds". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela de parede da caixa	Nome da tabela: feeds de IOC disponíveis Colunas da tabela: Nome Estado Tipo Ação Comentário Contagem de IPs Número de URLs Contagem de domínios Contagem de hashes Carregado a	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se o código de estado for 200 (is_success = true): "Successfully listed available IOC feeds in Trellix Central Management!" (Listou com êxito os feeds de IOC disponíveis na gestão central da Trellix!).

Se não foram encontradas entradas: "Não foram encontrados feeds de IOCs na gestão central da Trellix"

A ação deve falhar e parar a execução de um manual de procedimentos:
se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "List IOC Feeds". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela de parede da caixa

Nome da tabela: feeds de IOC disponíveis

Colunas da tabela:

Nome

Estado

Tipo

Ação

Comentário

Contagem de IPs

Número de URLs

Contagem de domínios

Contagem de hashes

Carregado a

Geral

Adicione uma regra ao ficheiro de regras personalizadas

Descrição

Adicione uma nova regra ao ficheiro de regras personalizadas na gestão central da Trellix.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Regra	String	N/A	Sim	Especifique a regra que tem de ser adicionada ao ficheiro de regras personalizadas.
Nome do sensor	String	N/A	Não	Especifique o nome do sensor ao qual quer adicionar uma nova regra. Se nada for especificado aqui, a ação tenta encontrar o sensor automaticamente.

Executar em

A ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um playbook: se o código de estado for 200 e o ficheiro tiver sido atualizado (is_success = true): "Regra adicionada com êxito ao ficheiro de regras personalizadas no dispositivo "{0}" na gestão central da Trellix!". se o código de estado for 500 (is_success = false): "Não foi possível adicionar uma regra ao ficheiro de regras personalizadas na gestão central da Trellix. Motivo: {0}). A ação deve falhar e parar a execução de um guião: se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Adicionar regra a regras personalizadas". Motivo: {0}''.format(error.Stacktrace) Se o sensor não for encontrado automaticamente: "Erro ao executar a ação "Adicionar regra ao ficheiro de regras personalizadas". Motivo: não foi encontrado o sensor para o dispositivo FireEye NX. Indique-o manualmente no parâmetro "Nome do sensor".''.format(error.Stacktrace) Se for fornecido um sensor inválido: "Erro ao executar a ação "Adicionar regra ao ficheiro de regras personalizadas". Motivo: não foi encontrado o sensor com o nome {0} para o dispositivo FireEye NX. Verifique a ortografia.''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se o código de estado for 200 e o ficheiro tiver sido atualizado (is_success = true): "Regra adicionada com êxito ao ficheiro de regras personalizadas no dispositivo "{0}" na gestão central da Trellix!".

se o código de estado for 500 (is_success = false): "Não foi possível adicionar uma regra ao ficheiro de regras personalizadas na gestão central da Trellix. Motivo: {0}).

A ação deve falhar e parar a execução de um guião:
se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Adicionar regra a regras personalizadas". Motivo: {0}''.format(error.Stacktrace)

Se o sensor não for encontrado automaticamente: "Erro ao executar a ação "Adicionar regra ao ficheiro de regras personalizadas". Motivo: não foi encontrado o sensor para o dispositivo FireEye NX. Indique-o manualmente no parâmetro "Nome do sensor".''.format(error.Stacktrace)

Se for fornecido um sensor inválido: "Erro ao executar a ação "Adicionar regra ao ficheiro de regras personalizadas". Motivo: não foi encontrado o sensor com o nome {0} para o dispositivo FireEye NX. Verifique a ortografia.''.format(error.Stacktrace)

Geral

Confirmar alerta

Descrição

Confirme o alerta na gestão central da Trellix.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
UUID do alerta	String	N/A	Sim	Especifique o UUID do alerta, que tem de ser confirmado.
Anotação	String	N/A	Sim	Especifique a anotação que explica o motivo da confirmação.

Executar em

A ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um playbook: se o código de estado for 200 (is_success = true): "Successfully acknowledged Trellix Central Management alert with ID {0}!". Se o código de estado for 404 (is_success = false): "Não foi possível confirmar o alerta do Trellix Central Management com o ID {0}. Motivo: não foi possível encontrar o alerta com o ID {0}. ". Se o código de estado for 400 (is_success = false): "Não foi possível confirmar o alerta do Trellix Central Management com o ID {0}. Motivo: {1} ". A ação deve falhar e parar a execução de um playbook: se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Acusar recebimento do alerta". Motivo: {0}''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se o código de estado for 200 (is_success = true): "Successfully acknowledged Trellix Central Management alert with ID {0}!".

Se o código de estado for 404 (is_success = false): "Não foi possível confirmar o alerta do Trellix Central Management com o ID {0}. Motivo: não foi possível encontrar o alerta com o ID {0}. ".

Se o código de estado for 400 (is_success = false): "Não foi possível confirmar o alerta do Trellix Central Management com o ID {0}. Motivo: {1} ".

A ação deve falhar e parar a execução de um playbook:
se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, entre outros: "Erro ao executar a ação "Acusar recebimento do alerta". Motivo: {0}''.format(error.Stacktrace)

Geral

Transfira o ficheiro de regras personalizadas

Descrição

Transfira o ficheiro de regras personalizadas do Trellix Central Management.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do sensor	String	N/A	Não	Especifique o nome do sensor ao qual quer adicionar uma nova regra. Se nada for especificado aqui, a ação tenta encontrar o sensor automaticamente.
Caminho da pasta de transferência	String	N/A	Sim	Especifique o caminho absoluto para a pasta onde o ficheiro deve ser transferido.
Substituir	Caixa de verificação	Marcado	Sim	Se estiver ativada, a ação substitui o ficheiro existente com o mesmo caminho.

Executar em

A ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor
is_success	is_success=False
is_success	is_success=True

Resultado JSON

File Path = "absolute path to the file"

Case Wall

Tipo de resultado	Valor / descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um manual de soluções: se o código de estado for 200 (is_success = true): "Ficheiro de regras personalizadas transferido com êxito do dispositivo "{0}" na gestão central da Trellix!". Se o código de estado for 500 ou 400 (is_success = false): "Não foi possível transferir o ficheiro de regras personalizadas do dispositivo "{0}" na gestão central da Trellix. Motivo: {1}". A ação deve falhar e parar a execução de um guião: se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Transferir ficheiro de regras personalizadas". Motivo: {0}''.format(error.Stacktrace) Se o sensor não for encontrado automaticamente: "Erro ao executar a ação "Transferir ficheiro de regras personalizadas". Motivo: não foi encontrado o sensor para o dispositivo FireEye NX. Indique-o manualmente no parâmetro "Nome do sensor".''.format(error.Stacktrace) Se for fornecido um sensor inválido: "Erro ao executar a ação "Transferir ficheiro de regras personalizadas". Motivo: não foi encontrado o sensor com o nome {0} para o dispositivo FireEye NX. Verifique a ortografia.''.format(error.Stacktrace)	Geral

Tipo de resultado

Valor / descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um manual de soluções:
se o código de estado for 200 (is_success = true): "Ficheiro de regras personalizadas transferido com êxito do dispositivo "{0}" na gestão central da Trellix!".

Se o código de estado for 500 ou 400 (is_success = false): "Não foi possível transferir o ficheiro de regras personalizadas do dispositivo "{0}" na gestão central da Trellix. Motivo: {1}".

A ação deve falhar e parar a execução de um guião:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Transferir ficheiro de regras personalizadas". Motivo: {0}''.format(error.Stacktrace)

Se o sensor não for encontrado automaticamente: "Erro ao executar a ação "Transferir ficheiro de regras personalizadas". Motivo: não foi encontrado o sensor para o dispositivo FireEye NX. Indique-o manualmente no parâmetro "Nome do sensor".''.format(error.Stacktrace)

Se for fornecido um sensor inválido: "Erro ao executar a ação "Transferir ficheiro de regras personalizadas". Motivo: não foi encontrado o sensor com o nome {0} para o dispositivo FireEye NX. Verifique a ortografia.''.format(error.Stacktrace)

Geral

Conetores

FireEye CM - Conetor de alertas

Descrição

O conector carrega alertas do Trellix Central Management para o Google SecOps. Isto inclui alertas gerados pelos dispositivos FireEye NX e EX.

Configure o conetor de alertas do FireEye CM no Google SecOps

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.

Parâmetros do conetor

Use os seguintes parâmetros para configurar o conector:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do campo do produto	String	sensor	Sim	Introduza o nome do campo de origem para obter o nome do campo do produto.
Nome do campo de evento	String	eventType	Sim	Introduza o nome do campo de origem para obter o nome do campo do evento.
Nome do campo do ambiente	String	""	Não	Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido.
Padrão de expressão regular do ambiente	String	.*	Não	Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
Limite de tempo do script (segundos)	Número inteiro	180	Sim	Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API	String	https://x.x.x.x:x	Sim	Raiz da API do servidor de gestão central da Trellix.
Nome de utilizador	String	N/A	Sim	Nome de utilizador da conta de gestão central da Trellix.
Palavra-passe	Palavra-passe	N/A	Sim	Palavra-passe da conta de gestão central da Trellix.
Fetch Max Hours Backwards	Número inteiro	1	Não	Número de horas a partir das quais recolher alertas.
Validar SSL	Caixa de verificação	Marcado	Sim	Se estiver ativada, valide se o certificado SSL para a ligação ao servidor de gestão central da Trellix é válido.
Use a lista de autorizações como uma lista negra	Caixa de verificação	Desmarcado	Sim	Se estiver ativada, a lista de autorizações é usada como uma lista negra.
Endereço do servidor proxy	String	N/A	Não	O endereço do servidor proxy a usar.
Nome de utilizador do proxy	String	N/A	Não	O nome de utilizador do proxy para autenticação.
Palavra-passe do proxy	Palavra-passe	N/A	Não	A palavra-passe do proxy para autenticação.

Regras do conetor

Suporte de proxy

O conetor suporta proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.