FireEye ETP
統合バージョン: 6.0
ユースケース
Trellix Email Security - Cloud Edition のアラートを取り込み、それらを使用して Google Security Operations のアラートを作成します。次に、Google SecOps でアラートを使用して、ハンドブックまたは手動分析でオーケストレーションを実行できます。
Google SecOps と連携するように FireEye ETP 統合を構成する
API キーの確認方法
- アカウント設定に移動します。
- [API キー] セクションを選択します
- [API キーを作成] ボタンを押します。
- 必須フィールドを入力します。プロダクトとして [Email Threat Prevention] を選択します。
- [次へ] ボタンを押します。
- [Grant All](すべて許可)ボタンを押します。
- [API キーを作成] ボタンを押します。
- API キーをコピーして、統合構成パラメータの [API Key] に貼り付けます。
Google SecOps で FireEye ETP の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://etp.us.fireeye.com | はい | Trellix Email Security - Cloud Edition インスタンスの API ルート。 |
| API キー | 文字列 | なし | はい | Trellix Email Security - Cloud Edition アカウントの API キー。 |
| SSL を確認する | チェックボックス | オフ | はい | 有効になっている場合は、Anomali Staxx Check Point Cloud Guard Dome9 サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Trellix Email Security - Cloud Edition への接続をテストします。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| なし |
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
全般 |
コネクタ
FireEye ETP - Email Alerts コネクタ
説明
Trellix Email Security - Cloud Edition からアラートを取得します。Trellix Email Security - Cloud Edition からの通知は、メール ID に基づいて 1 つの Google SecOps アラートにグループ化されます。
Google SecOps で FireEye ETP - Email Alerts Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | alertType | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://etp.us.fireeye.com | Trellix Email Security - Cloud Edition インスタンスの API ルート。 | |
| API キー | 文字列 | なし | はい | Trellix Email Security - Cloud Edition アカウントの API キー。 |
| 遡る取得の最大時間数 | 整数 | 1 | いいえ | どの時点からアラートを取得するかの時間数。 |
| タイムゾーン | 文字列 | いいえ | インスタンスのタイムゾーン。デフォルト: UTC。例: +1 は UTC+1、-1 は UTC-1 になります。 | |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オフ | ○ | 有効になっている場合は、Anomali Staxx サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。