FireEye ETP
Integrationsversion: 6.0
Anwendungsbereiche
Trellix Email Security – Cloud Edition-Benachrichtigungen aufnehmen und damit Google Security Operations-Benachrichtigungen erstellen. Als Nächstes können in Google SecOps Benachrichtigungen verwendet werden, um Orchestrierungen mit Playbooks oder manuellen Analysen durchzuführen.
FireEye ETP-Integration für die Verwendung mit Google SecOps konfigurieren
Wo finde ich den API-Schlüssel?
- Rufen Sie die Kontoeinstellungen auf.
- Wählen Sie den Bereich „API-Schlüssel“ aus.
- Klicken Sie auf die Schaltfläche „API-Schlüssel erstellen“.
- Füllen Sie die Pflichtfelder aus. Wählen Sie als Produkt „Email Threat Prevention“ aus.
- Drücke auf die Schaltfläche „Weiter“.
- Tippen Sie auf die Schaltfläche „Alle gewähren“.
- Klicken Sie auf die Schaltfläche „API-Schlüssel erstellen“.
- Kopieren Sie den API-Schlüssel und fügen Sie ihn in den Konfigurationsparameter „API-Schlüssel“ ein.
FireEye ETP-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://etp.us.fireeye.com | Ja | API-Stammverzeichnis der Trellix Email Security – Cloud Edition-Instanz. |
| API-Schlüssel | String | – | Ja | API-Schlüssel des Trellix Email Security – Cloud Edition-Kontos. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird das SSL-Zertifikat für die Verbindung zum Anomali Staxx Check Point Cloud Guard Dome9-Server geprüft. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Trellix Email Security – Cloud Edition mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| – |
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen.
Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Connector
FireEye ETP – Connector für E‑Mail-Benachrichtigungen
Beschreibung
Benachrichtigungen aus Trellix Email Security – Cloud Edition abrufen Benachrichtigungen von Trellix Email Security – Cloud Edition werden anhand der E‑Mail-ID in einer Google SecOps-Benachrichtigung gruppiert.
FireEye ETP – Email Alerts Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | alertType | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://etp.us.fireeye.com | API-Stammverzeichnis der Trellix Email Security – Cloud Edition-Instanz. | |
| API-Schlüssel | String | – | Ja | API-Schlüssel des Trellix Email Security – Cloud Edition-Kontos. |
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Benachrichtigungen abgerufen werden sollen. |
| Zeitzone | String | Nein | Zeitzone der Instanz. Standard: UTC. Beispiel: +1 entspricht UTC+1 und -1 entspricht UTC-1. | |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird das SSL-Zertifikat für die Verbindung zum Anomali Staxx-Server geprüft. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten