FireEye ETP
Versión de integración: 6.0
Casos de uso
Ingiere alertas de Trellix Email Security - Cloud Edition y úsalas para crear alertas de Google Security Operations. A continuación, en Google SecOps, las alertas se pueden usar para realizar orquestaciones con guías o análisis manuales.
Configura la integración de FireEye ETP para que funcione con Google SecOps
Dónde encontrar la clave de API
- Navega a la configuración de la cuenta.
- Selecciona la sección "Claves de API".
- Presiona el botón "Crear clave de API".
- Completa los campos obligatorios. Como producto, elige "Protección contra amenazas por correo electrónico".
- Presiona el botón “Siguiente”.
- Presiona el botón “Grant All”.
- Presiona el botón "Crear clave de API".
- Copia la clave de API y pégala en el parámetro de configuración de la integración "Clave de API".
Configura la integración de FireEye ETP en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://etp.us.fireeye.com | Sí | Es la raíz de la API de la instancia de Trellix Email Security - Cloud Edition. |
| Clave de API | String | N/A | Sí | Es la clave de API de la cuenta de Trellix Email Security - Cloud Edition. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Anomali Staxx Check Point CloudGuard Dome9 sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con Trellix Email Security - Cloud Edition con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| N/A |
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Conector
Conector de alertas de correo electrónico de FireEye ETP
Descripción
Extrae alertas de Trellix Email Security - Cloud Edition. Las alertas de Trellix Email Security - Cloud Edition se agrupan según el ID de correo electrónico en una sola alerta de Google SecOps.
Configura el conector de alertas por correo electrónico de FireEye ETP en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | alertType | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://etp.us.fireeye.com | Es la raíz de la API de la instancia de Trellix Email Security - Cloud Edition. | |
| Clave de API | String | N/A | Sí | Es la clave de API de la cuenta de Trellix Email Security - Cloud Edition. |
| Recuperar horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperan las alertas. |
| Zona horaria | String | No | Zona horaria de la instancia. El valor predeterminado es UTC. Por ejemplo, +1 será UTC+1 y -1 será UTC-1. | |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Anomali Staxx sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.