FireEye CM
整合版本:9.0
應用實例
- 擷取 Trellix Central Management 警示,並用來建立 Google Security Operations 警示。接著,您可以在 Google SecOps 中使用快訊,透過應對手冊或手動分析執行協調作業。
- 執行主動動作 - 使用 Trellix Central Management 代理程式從 Google SecOps 下載快訊構件、建立規則、IOC 資訊提供
在 Google SecOps 中設定 FireEye CM 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根層級 | 字串 | https://: |
是 | Trellix Central Management 伺服器的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Trellix Central Management 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Trellix Central Management 帳戶的密碼。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用這項設定,請確認連線至 Trellix Central Management 伺服器的 SSL 憑證有效。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Trellix Central Management 的連線。
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止執行應對手冊: 如果成功: 動作應會失敗並停止執行應對手冊: 如果未成功: Print "Failed to connect to the Trellix Central Management server! Error is {0}".format(exception.stacktrace) |
一般 |
新增 IOC 動態饋給
說明
根據實體在 Trellix Central Management 中新增 IOC 動態饋給。系統僅支援 MD5 和 SHA256 雜湊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 動作 | DDL | 快訊 可能的值 快訊 封鎖 |
是 | 指定新動態消息的動作。 |
| 註解 | 字串 | 不適用 | 否 | 為動態饋給指定其他註解。 |
| 擷取網域 | 核取方塊 | 不適用 | 是 | 啟用後,動作會從網址中擷取網域部分,並用於建立 IOC 資訊提供。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 網址
- 雜湊 (MD5/SHA256)
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止執行應對手冊: 如果至少有一個實體類型的狀態碼為 200(is_success = true): if some of the entity types were not used properly (is_success =true) : 如果沒有任何實體成功用於建立動態饋給:(is_success=false) 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤: Print "Error executing action "Add IOC Feed". 原因:{0}''.format(error.Stacktrace) |
一般 |
刪除 IOC 動態饋給
說明
在 Trellix Central Management 中刪除 IOC 動態饋給。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 動態饋給名稱 | 字串 | 不適用 | 是 | 指定要刪除的動態饋給名稱。 |
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止劇本執行: 如果狀態碼為 200,且在上次要求 (is_success = false) 的清單中找到 feedName:「Action wasn't able to delete feed '{0}' in Trellix Central Management. 如果一開始沒有動態饋給名稱,系統會顯示「Action wasn't able to delete IOC feed in Trellix Central Management」(動作無法在 Trellix Central Management 中刪除 IOC 動態饋給)。原因:找不到動態饋給「{feed_name}」。 動作應會失敗並停止執行劇本: |
一般 |
列出遭到隔離的電子郵件
說明
列出遭到隔離的電子郵件。需要將 FireEye EX 連線至 Trellix Central Management。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 開始時間 | 字串 | 不適用 | 否 | 如果指定開始時間,系統只會傳回該時間之後建立的電子郵件。如未指定開始時間和結束時間,動作會傳回過去 24 小時內遭隔離的電子郵件。格式:YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| 結束時間 | 字串 | 不適用 | 否 | 如果指定結束時間,系統只會傳回在結束時間前建立的電子郵件。如未指定開始時間和結束時間,動作會傳回過去 24 小時內遭隔離的電子郵件。格式:YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| 寄件者篩選器 | 字串 | 不適用 | 否 | 如果指定,系統只會傳回來自這位寄件者的所有隔離電子郵件。 |
| 主旨篩選器 | 字串 | 不適用 | 否 | 如果指定,則只會傳回主旨符合條件的所有隔離電子郵件。 |
| 要傳回的電子郵件數量上限 | 字串 | 50 | 否 | 指定要傳回的電子郵件數量。上限為 10,000。這是 Trellix Central Management 的限制。 |
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "x-x-x-x-x",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止應對手冊執行: 如果沒有可用資料 (is_success = true):「Trellix Central Management 中未發現任何遭到隔離的電子郵件!」 動作應會失敗並停止執行劇本: |
一般 |
| 案件訊息牆表格 | 名稱:遭到隔離的電子郵件 欄:
|
釋出遭到隔離的電子郵件
說明
釋出隔離的電子郵件。需要將 FireEye EX 連線至 Trellix Central Management。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 佇列 ID | 字串 | 不適用 | 是 | 指定需要釋放的電子郵件佇列 ID。 |
| 感應器名稱 | 字串 | 不適用 | 否 | 指定感應器名稱,您要在該感應器中釋放隔離的電子郵件。如果未在此指定任何內容,動作會嘗試自動尋找感應器。 |
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行: 如果狀態碼為 200 且回應不是空白 (is_success = false):「郵件未發布,佇列 ID 為 {0}。原因:{1}」。 動作應會失敗並停止執行劇本: 如果系統未自動找到感應器:「Error executing action "Release Quarantined Email". 原因:找不到 FireEye EX 裝置的感應器。Please provide it manually in the 'Sensor Name' parameter.''.format(error.Stacktrace) 如果提供的感應器無效:「Error executing action "Release Quarantined Email". 原因:找不到 FireEye EX 裝置名稱為「{0}」的感應器。Please check the spelling.''.format(error.Stacktrace) |
一般 |
下載遭到隔離的電子郵件
說明
下載遭到隔離的電子郵件。需要將 FireEye EX 連線至 Trellix Central Management。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 佇列 ID | 字串 | 不適用 | 是 | 指定要下載的電子郵件佇列 ID。 |
| 下載資料夾路徑 | 字串 | 不適用 | 是 | 指定動作應儲存檔案的資料夾絕對路徑。 |
| 覆寫 | 核取方塊 | 是 | 是 | 如果啟用這項設定,動作會覆寫路徑相同的現有檔案。 |
| 感應器名稱 | 字串 | 不適用 | 否 | 指定感應器名稱,您要從該感應器下載隔離的電子郵件。如果未在此指定任何內容,動作會嘗試自動尋找感應器。 |
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
file_path = {absolute file path to the file}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行: if status code 200 and xml in the response (is_success = false): "Email with queue id {0} was not downloaded. 原因:{1}」。 動作應會失敗並停止執行劇本: 如果系統未自動找到感應器:「執行『下載隔離的電子郵件』動作時發生錯誤。原因:找不到 FireEye EX 裝置的感應器。Please provide it manually in the 'Sensor Name' parameter.''.format(error.Stacktrace) 如果提供的感應器無效:「Error executing action "Download Quarantined Email". 原因:找不到 FireEye EX 裝置名稱為「{0}」的感應器。Please check the spelling.''.format(error.Stacktrace) |
一般 |
刪除已隔離的電子郵件
說明
刪除已隔離的電子郵件。需要將 FireEye EX 連線至 Trellix Central Management。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 佇列 ID | 字串 | 不適用 | 是 | 指定要刪除的電子郵件佇列 ID。 |
| 感應器名稱 | 字串 | 不適用 | 否 | 指定感應器名稱,您要從該感應器刪除隔離的電子郵件。如果未在此指定任何內容,動作會嘗試自動尋找感應器。 |
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止應對手冊執行: 如果狀態碼為 200 且回應不是空白:「郵件 (佇列 ID:{0}) 未刪除。原因:{1}」。 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『刪除隔離的電子郵件』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果系統未自動找到感應器:「Error executing action "Delete Quarantined Email". 原因:找不到 FireEye EX 裝置的感應器。Please provide it manually in the 'Sensor Name' parameter.''.format(error.Stacktrace) 如果提供的感應器無效:「Error executing action "Delete Quarantined Email". 原因:找不到 FireEye EX 裝置名稱為「{0}」的感應器。Please check the spelling.''.format(error.Stacktrace) |
一般 |
下載快訊構件
說明
從 Trellix Central Management 下載快訊構件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 快訊 UUID | 字串 | 不適用 | 是 | 指定要從哪個快訊 UUID 下載構件。 |
| 下載資料夾路徑 | 字串 | 不適用 | 是 | 指定動作應儲存檔案的資料夾絕對路徑。 |
| 覆寫 | 核取方塊 | 已勾選 | 是 | 如果啟用這項設定,動作會覆寫路徑相同的現有檔案。 |
執行時間
系統不會對實體執行這項操作。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
file_path = {absolute file path to the file}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止劇本執行: 如果該路徑的檔案已存在 (is_success = false):「Action wasn't able to download Trellix Central Management alert artifacts with alert id {0}. 原因:已有相同路徑的檔案。" 如果狀態碼為 404 (is_success = false):「Artifacts for alert with uuid {0} were not found. ". 動作應會失敗並停止執行劇本: |
一般 |
列出 IOC 動態饋給
說明
在 Trellix Central Management 中列出可用的 IOC 動態饋給。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 要傳回的 IOC 動態饋給數量上限 | 字串 | 50 | 否 | 指定要傳回多少個 IOC 動態消息。預設值為 50。 |
執行時間
系統不會對實體執行這項操作。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"customFeedInfo": [
{
"feedName": "ad",
"status": "Feed processed",
"feedType": "url",
"uploadDate": "2020/10/13 10:32:28",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 3
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "adasdasdas",
"status": "Feed processed",
"feedType": "domain",
"uploadDate": "2020/10/13 10:34:29",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 3
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "qweqwe",
"status": "Feed processed",
"feedType": "ip",
"uploadDate": "2020/10/13 10:16:31",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 3
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
}
]
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗,也不得停止劇本執行: 如果找不到任何項目:「Trellix Central Management 中找不到任何 IOC 資訊動態饋給」 動作應會失敗並停止執行劇本: |
一般 |
| 案件總覽表格 | 表格名稱:可用的 IOC 動態饋給 資料表資料欄: 名稱 狀態 類型 動作 留言 IP 數量 網址數量 網域數量 雜湊計數 上傳時間 |
一般 |
將規則新增至自訂規則檔案
說明
在 Trellix Central Management 的自訂規則檔案中新增規則。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 規則 | 字串 | 不適用 | 是 | 指定要新增至自訂規則檔案的規則。 |
| 感應器名稱 | 字串 | 不適用 | 否 | 指定感應器名稱,並新增規則。如果未在此指定任何內容,動作會嘗試自動尋找感應器。 |
執行時間
系統不會對實體執行這項操作。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行: 動作應會失敗並停止執行劇本: 如果系統未自動找到感應器:「Error executing action "Add Rule To Custom Rules File"」。原因:找不到 FireEye NX 裝置的感應器。Please provide it manually in the 'Sensor Name' parameter.''.format(error.Stacktrace) 如果提供的感應器無效:「執行動作『將規則新增至自訂規則檔案』時發生錯誤。原因:找不到 FireEye NX 裝置名稱為「{0}」的感應器。Please check the spelling.''.format(error.Stacktrace) |
一般 |
確認快訊
說明
在 Trellix Central Management 中確認快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 快訊 UUID | 字串 | 不適用 | 是 | 指定需要確認的快訊 UUID。 |
| 註解 | 字串 | 不適用 | 是 | 指定說明確認原因的註解。 |
執行時間
系統不會對實體執行這項操作。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗,也不得停止劇本執行: if status code 404 (is_success = false): "Action wasn't able to acknowledge Trellix Central Management alert with ID {0}. 原因:找不到 ID 為 {0} 的快訊。". 如果狀態碼為 400 (is_success = false):「Action wasn't able to acknowledge Trellix Central Management alert with ID {0}. 原因:{1}」。 動作應會失敗並停止執行劇本: |
一般 |
下載自訂規則檔案
說明
從 Trellix Central Management 下載自訂規則檔案。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 感應器名稱 | 字串 | 不適用 | 否 | 指定感應器名稱,並新增規則。如果未在此指定任何內容,動作會嘗試自動尋找感應器。 |
| 下載資料夾路徑 | 字串 | 不適用 | 是 | 指定檔案應下載至哪個資料夾的絕對路徑。 |
| 覆寫 | 核取方塊 | 已勾選 | 是 | 如果啟用這項設定,動作會覆寫路徑相同的現有檔案。 |
執行時間
系統不會對實體執行這項操作。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
File Path = "absolute path to the file"
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行: 如果狀態碼為 500 或 400 (is_success = false):「Action wasn't able to download custom rules file from appliance '{0}' in Trellix Central Management. 原因:{1}」。 如果系統未自動找到感應器:「執行動作『下載自訂規則檔案』時發生錯誤。原因:找不到 FireEye NX 裝置的感應器。Please provide it manually in the 'Sensor Name' parameter.''.format(error.Stacktrace) 如果提供的感應器無效:「Error executing action "Download Custom Rules File". 原因:找不到 FireEye NX 裝置名稱為「{0}」的感應器。Please check the spelling.''.format(error.Stacktrace) |
一般 |
連接器
FireEye CM - Alerts Connector
說明
連結器會將 Trellix Central Management 快訊擷取至 Google SecOps。包括 FireEye NX 和 EX 裝置產生的快訊。
在 Google SecOps 中設定 FireEye CM - Alerts 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 感應器 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | eventType | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
環境欄位名稱 |
字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
環境規則運算式模式 |
字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://x.x.x.x:x | 是 | Trellix Central Management 伺服器的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Trellix Central Management 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Trellix Central Management 帳戶的密碼。 |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取快訊的小時數。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用這項設定,請確認連線至 Trellix Central Management 伺服器的 SSL 憑證有效。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。