FireEye ETP
整合版本:6.0
應用實例
擷取 Trellix Email Security - Cloud Edition 快訊,並用來建立 Google Security Operations 快訊。接著,您可以在 Google SecOps 中使用快訊,透過應對手冊或手動分析執行協調作業。
設定 FireEye ETP 整合功能,以便與 Google SecOps 搭配使用
如何找出 API 金鑰
- 前往帳戶設定。
- 選取「API 金鑰」部分
- 按下「Create API Key」(建立 API 金鑰) 按鈕
- 填寫必填欄位。選擇「電子郵件威脅防護」做為產品。
- 按下「下一步」按鈕
- 按下「全部授予」按鈕
- 按下「Create API Key」(建立 API 金鑰) 按鈕
- 複製 API 金鑰,並貼到「API 金鑰」整合設定參數中。
在 Google SecOps 中設定 FireEye ETP 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://etp.us.fireeye.com | 是 | Trellix Email Security - Cloud Edition 執行個體的 API 根目錄。 |
| API 金鑰 | 字串 | 不適用 | 是 | Trellix Email Security - Cloud Edition 帳戶的 API 金鑰。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用這項設定,請確認連線至 Anomali Staxx Check Point Cloud Guard Dome9 伺服器的 SSL 憑證有效。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Trellix Email Security - Cloud Edition 的連線。
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 不適用 |
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不得失敗或停止劇本執行:
動作應會失敗並停止執行應對手冊:
|
一般 |
連接器
FireEye ETP - Email Alerts Connector
說明
從 Trellix Email Security - Cloud Edition 提取快訊。系統會根據電子郵件 ID,將 Trellix Email Security - Cloud Edition 的快訊分組,並整合成一則 Google SecOps 快訊。
在 Google SecOps 中設定 FireEye ETP - 電子郵件快訊連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | alertType | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://etp.us.fireeye.com | Trellix Email Security - Cloud Edition 執行個體的 API 根目錄。 | |
| API 金鑰 | 字串 | 不適用 | 是 | Trellix Email Security - Cloud Edition 帳戶的 API 金鑰。 |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取快訊的小時數。 |
| 時區 | 字串 | 否 | 執行個體的時區。預設值為世界標準時間。例如:+1 代表 UTC+1,-1 代表 UTC-1。 | |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用這項設定,請確認連線至 Anomali Staxx 伺服器的 SSL 憑證有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。