FireEye EX
集成版本:10.0
产品使用场景
- 提取 Trellix Email Security - Server Edition 提醒,以便使用这些提醒创建 Google Security Operations 提醒。接下来,在 Google SecOps 中,可以使用提醒通过 playbook 或手动分析来执行编排。
- 执行丰富化操作 - 从 Trellix Email Security - Server Edition 获取数据,以丰富 Google SecOps 提醒中的数据。
- 执行主动操作 - 使用 Google SecOps 中的 Trellix Email Security - Server Edition 代理释放/删除电子邮件。
在 Google SecOps 中配置 FireEye EX 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | https://<address>:\<port> | 是 | Trellix Email Security - Server Edition 服务器的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Trellix Email Security - Server Edition 账号的用户名。 |
| 密码 | 密码 | 不适用 | 是 | Trellix Email Security - Server Edition 账号的密码。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Trellix Email Security - Server Edition 服务器的连接的 SSL 证书是否有效。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中集成配置页面上提供的参数,测试与 Trellix Email Security - Server Edition 的连接。
参数
不适用
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
列出隔离的电子邮件
说明
列出隔离的电子邮件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 开始时间 | 字符串 | 不适用 | 否 | 如果指定,则仅返回在开始时间之后创建的电子邮件。如果未指定开始时间和结束时间,则操作会返回过去 24 小时内隔离的电子邮件。格式:YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| 结束时间 | 字符串 | 不适用 | 否 | 如果指定,则仅返回在结束时间之前创建的电子邮件。如果未指定开始时间和结束时间,则操作会返回过去 24 小时内隔离的电子邮件。格式:YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| 发件人过滤条件 | 字符串 | 不适用 | 否 | 如果指定,则仅返回来自此发件人的所有隔离电子邮件。 |
| 主题过滤条件 | 字符串 | 不适用 | 否 | 如果指定,则仅返回具有此主题的所有隔离电子邮件。 |
| 要返回的电子邮件数量上限 | 字符串 | 不适用 | 否 | 指定要返回的电子邮件数量。上限为 10000。这是 Trellix Email Security - Server Edition 的限制。 |
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "9de3a94f-5ef6-46c7-b6d3-7d4f8c964925",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
释放隔离的电子邮件
说明
释放隔离的电子邮件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 队列 ID | 字符串 | 不适用 | 是 | 指定需要释放的电子邮件的队列 ID。 |
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
删除隔离的电子邮件
说明
删除已隔离的电子邮件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 队列 ID | 字符串 | 不适用 | 是 | 指定需要删除的电子邮件的队列 ID。 |
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
下载隔离的电子邮件
说明
下载被隔离的电子邮件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 队列 ID | 字符串 | 不适用 | 是 | 指定需要下载的电子邮件的队列 ID。 |
| 下载路径 | 字符串 | 不适用 | 否 | 指定操作应将文件保存到何处。如果未指定任何内容,操作将不会将文件保存到磁盘。 |
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
下载提醒制品
说明
下载提醒工件。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 提醒 UUID | 字符串 | 不适用 | 是 | 指定需要从中下载制品的相关提醒的 UUID。 |
| 下载路径 | 字符串 | 不适用 | 否 | 指定操作应将文件保存到何处。如果未指定任何内容,操作将不会将文件保存到磁盘。 |
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
连接器
FireEye EX - 提醒连接器
在 Google SecOps 中配置 FireEye EX - 提醒连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | eventType | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://x.x.x.x:x | 是 | Trellix Email Security - Server Edition 服务器的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Trellix Email Security - Server Edition 账号的用户名。 |
| 密码 | 密码 | 是 | Trellix Email Security - Server Edition 账号的密码。 | |
| 提取回溯的小时数上限 | 整数 | 1 | 否 | 提取提醒的小时数。支持的最大值为 48。 这是 Trellix Email Security - Server Edition 的限制。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 SonicWall 服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 否 | 要使用的代理服务器的地址。 | |
| 代理用户名 | 字符串 | 否 | 用于进行身份验证的代理用户名。 | |
| 代理密码 | 密码 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。