FireEye ETP
集成版本:6.0
使用场景
提取 Trellix Email Security - Cloud Edition 提醒,并使用这些提醒创建 Google Security Operations 提醒。 接下来,在 Google SecOps 中,可以使用提醒通过 playbook 或手动分析来执行编排。
配置 FireEye ETP 集成,以便与 Google SecOps 搭配使用
在哪里可以找到 API 密钥
- 前往账号设置。
- 选择“API 密钥”部分
- 按“创建 API 密钥”按钮
- 填写必填字段。选择“电子邮件威胁防护”作为产品。
- 按“下一步”按钮
- 按“全部授予”按钮
- 按“创建 API 密钥”按钮
- 复制 API 密钥,并将其粘贴到“API 密钥”集成配置参数中。
在 Google SecOps 中配置 FireEye ETP 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://etp.us.fireeye.com | 是 | Trellix Email Security - Cloud Edition 实例的 API 根。 |
| API 密钥 | 字符串 | 不适用 | 是 | Trellix Email Security - Cloud Edition 账号的 API 密钥。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果启用,请验证与 Anomali Staxx Check Point Cloud Guard Dome9 服务器的连接的 SSL 证书是否有效。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中集成配置页面上提供的参数,测试与 Trellix Email Security - Cloud Edition 的连接。
运行于
该操作不会在实体上运行,也没有强制性输入参数。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 不适用 |
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
连接器
FireEye ETP - 电子邮件提醒连接器
说明
从 Trellix Email Security - Cloud Edition 中提取提醒。来自 Trellix Email Security - Cloud Edition 的提醒会根据电子邮件 ID 分组,并合并为一个 Google SecOps 提醒。
在 Google SecOps 中配置 FireEye ETP - 电子邮件提醒连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | alertType | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://etp.us.fireeye.com | Trellix Email Security - Cloud Edition 实例的 API 根。 | |
| API 密钥 | 字符串 | 不适用 | 是 | Trellix Email Security - Cloud Edition 账号的 API 密钥。 |
| 提取回溯的小时数上限 | 整数 | 1 | 否 | 提取提醒的小时数。 |
| 时区 | 字符串 | 否 | 实例的时区。默认值:UTC。示例:+1 表示 UTC+1,-1 表示 UTC-1。 | |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果启用,请验证与 Anomali Staxx 服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。