FireEye ETP
Versione integrazione: 6.0
Casi d'uso
Importa gli avvisi di Trellix Email Security - Cloud Edition e utilizzali per creare avvisi di Google Security Operations. Successivamente, in Google SecOps, gli avvisi possono essere utilizzati per eseguire orchestrazioni con playbook o analisi manuali.
Configurare l'integrazione di FireEye ETP in modo che funzioni con Google SecOps
Dove trovare la chiave API
- Vai alle impostazioni dell'account.
- Seleziona la sezione "Chiavi API".
- Premi il pulsante "Crea chiave API".
- Compila i campi obbligatori. Come prodotto, scegli "Email Threat Prevention".
- Premi il pulsante "Avanti".
- Premi il pulsante "Concedi tutto".
- Premi il pulsante "Crea chiave API".
- Copia la chiave API e incollala nel parametro di configurazione dell'integrazione "Chiave API".
Configura l'integrazione di FireEye ETP in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://etp.us.fireeye.com | Sì | Radice API dell'istanza di Trellix Email Security - Cloud Edition. |
| Chiave API | Stringa | N/D | Sì | Chiave API dell'account Trellix Email Security - Cloud Edition. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Anomali Staxx Check Point Cloud Guard Dome9 sia valido. |
Azioni
Dindin
Descrizione
Verifica la connettività a Trellix Email Security - Cloud Edition con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| N/D |
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
|
Generale |
Connettore
FireEye ETP - Email Alerts Connector
Descrizione
Estrai gli avvisi da Trellix Email Security - Cloud Edition. Gli avvisi di Trellix Email Security - Cloud Edition vengono raggruppati in base all'ID email in un unico avviso Google SecOps.
Configura il connettore FireEye ETP - Email Alerts in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | alertType | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://etp.us.fireeye.com | Radice API dell'istanza di Trellix Email Security - Cloud Edition. | |
| Chiave API | Stringa | N/D | Sì | Chiave API dell'account Trellix Email Security - Cloud Edition. |
| Recupero ore massime a ritroso | Numero intero | 1 | No | Quantità di ore da cui recuperare gli avvisi. |
| Fuso orario | Stringa | No | Il fuso orario dell'istanza. Valore predefinito: UTC. Esempio: +1 sarà UTC+1 e -1 sarà UTC-1. | |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Anomali Staxx sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.