FireEye EX
Integrationsversion: 10.0
Anwendungsfälle für Produkte
- Trellix Email Security – Server Edition-Warnungen aufnehmen, um damit Google Security Operations-Warnungen zu erstellen. In Google SecOps können dann mit Benachrichtigungen Orchestrierungen mit Playbooks oder manuelle Analysen durchgeführt werden.
- Aktionen zur Anreicherung durchführen – Daten aus Trellix Email Security – Server Edition abrufen, um Daten in Google SecOps-Benachrichtigungen anzureichern.
- Aktive Maßnahmen ergreifen – E-Mail mit dem Trellix Email Security – Server Edition-Agenten aus Google SecOps freigeben/löschen.
FireEye EX-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Stamm | String | https://<address>:\<port> | Ja | API-Stammverzeichnis des Trellix Email Security – Server Edition-Servers. |
| Nutzername | String | – | Ja | Nutzername des Trellix Email Security – Server Edition-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort des Trellix Email Security – Server Edition-Kontos. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Trellix Email Security – Server Edition-Server gültig ist. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Trellix Email Security – Server Edition mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
E-Mails in Quarantäne auflisten
Beschreibung
In Quarantäne verschobene E‑Mails auflisten
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Beginn | String | – | Nein | Wenn angegeben, werden nur E-Mails zurückgegeben, die nach der Startzeit erstellt wurden. Wenn „Start Time“ (Startzeit) und „End Time“ (Endzeit) nicht angegeben sind, werden durch die Aktion unter Quarantäne gestellte E‑Mails der letzten 24 Stunden zurückgegeben. Format: YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| Ende | String | – | Nein | Wenn angegeben, werden nur E‑Mails zurückgegeben, die vor dem Endzeitpunkt erstellt wurden. Wenn „Start Time“ (Startzeit) und „End Time“ (Endzeit) nicht angegeben sind, werden durch die Aktion unter Quarantäne gestellte E‑Mails der letzten 24 Stunden zurückgegeben. Format: JJJJ-MM-TT'T'HH:MM:SS.SSS-HHMM |
| Absenderfilter | String | – | Nein | Wenn angegeben, werden alle E‑Mails in der Quarantäne nur von diesem Absender zurückgegeben. |
| Betrefffeld | String | – | Nein | Wenn angegeben, werden alle unter Quarantäne gestellten E‑Mails mit diesem Betreff zurückgegeben. |
| Maximale Anzahl zurückzugebender E‑Mails | String | – | Nein | Geben Sie an, wie viele E‑Mails zurückgegeben werden sollen. Das Limit beträgt 10.000. Dies ist eine Einschränkung von Trellix Email Security – Server Edition. |
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "9de3a94f-5ef6-46c7-b6d3-7d4f8c964925",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
E‑Mail aus Quarantäne freigeben
Beschreibung
Gibt unter Quarantäne gestellte E‑Mails frei.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Warteschlangen-ID | String | – | Ja | Geben Sie die Warteschlangen-ID der E‑Mail an, die freigegeben werden muss. |
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
E‑Mail in Quarantäne löschen
Beschreibung
Löschen Sie die E‑Mail in Quarantäne.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Warteschlangen-ID | String | – | Ja | Geben Sie die Warteschlangen-ID der E‑Mail an, die gelöscht werden muss. |
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Unter Quarantäne gestellte E-Mail herunterladen
Beschreibung
Unter Quarantäne gestellte E‑Mail herunterladen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Warteschlangen-ID | String | – | Ja | Geben Sie die Warteschlangen-ID der E‑Mail an, die heruntergeladen werden soll. |
| Downloadpfad | String | – | Nein | Geben Sie an, wo die Dateien gespeichert werden sollen. Wenn nichts angegeben ist, wird die Datei nicht auf der Festplatte gespeichert. |
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Warnungsartefakte herunterladen
Beschreibung
Laden Sie Warnungsartefakte herunter.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-UUID | String | – | Ja | Geben Sie die UUID der Benachrichtigung an, aus der Artefakte heruntergeladen werden sollen. |
| Downloadpfad | String | – | Nein | Geben Sie an, wo die Dateien gespeichert werden sollen. Wenn nichts angegeben ist, wird die Datei nicht auf der Festplatte gespeichert. |
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Connectors
FireEye EX – Alerts Connector
FireEye EX – Alerts Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | eventType | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://x.x.x.x:x | Ja | API-Stammverzeichnis des Trellix Email Security – Server Edition-Servers. |
| Nutzername | String | – | Ja | Nutzername des Trellix Email Security – Server Edition-Kontos. |
| Passwort | Passwort | Ja | Das Passwort für das Trellix Email Security – Server Edition-Konto. | |
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Benachrichtigungen abgerufen werden sollen. Der maximal unterstützte Wert ist 48. Dies ist eine Einschränkung von Trellix Email Security – Server Edition. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum SonicWall-Server gültig ist. |
| Proxyserveradresse | String | Nein | Die Adresse des zu verwendenden Proxyservers. | |
| Proxy-Nutzername | String | Nein | Der Proxy-Nutzername für die Authentifizierung. | |
| Proxy-Passwort | Passwort | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten