FireEye EX
Versión de integración: 10.0
Casos prácticos de productos
- Ingiere alertas de Trellix Email Security - Server Edition para usarlas y crear alertas de Google Security Operations. A continuación, en Google SecOps, las alertas se pueden usar para realizar orquestaciones con guías o análisis manuales.
- Realiza acciones de enriquecimiento: obtén datos de Trellix Email Security - Server Edition para enriquecer los datos de las alertas de Google SecOps.
- Realiza acciones activas: libera o elimina correos con el agente de Trellix Email Security - Server Edition desde Google SecOps.
Configurar la integración de FireEye EX en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Raíz de la API | Cadena | https://<address>:\<port> | Sí | Raíz de la API del servidor de Trellix Email Security - Server Edition. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Trellix Email Security - Server Edition. |
| Contraseña | Contraseña | N/A | Sí | La contraseña de la cuenta de Trellix Email Security - Server Edition. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, verifica que el certificado SSL de la conexión al servidor de Trellix Email Security - Server Edition sea válido. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con Trellix Email Security - Server Edition con los parámetros proporcionados en la página de configuración de la integración, en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Mostrar correos en cuarentena
Descripción
Lista de correos puestos en cuarentena.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Hora de inicio | Cadena | N/A | No | Si se especifica, solo se devolverán los correos creados después de la hora de inicio. Si no se especifican las horas de inicio y de finalización, la acción devuelve los correos en cuarentena de las últimas 24 horas. Formato: AAAA-MM-DD'T'HH:MM:SS.SSS-HHMM |
| Hora de finalización | Cadena | N/A | No | Si se especifica, solo se devolverán los correos creados antes de la hora de finalización. Si no se especifican las horas de inicio y de finalización, la acción devuelve los correos en cuarentena de las últimas 24 horas. Formato: AAAA-MM-DDT HH:MM:SS.SSS-HHMM |
| Filtro de remitente | Cadena | N/A | No | Si se especifica, devuelve todos los correos en cuarentena solo de este remitente. |
| Filtro por asunto | Cadena | N/A | No | Si se especifica, devuelve todos los correos en cuarentena que tengan este asunto. |
| Número máximo de correos que se devolverán | Cadena | N/A | No | Especifica cuántos correos se van a devolver. El límite es de 10.000. Esta es una limitación de Trellix Email Security - Server Edition. |
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "9de3a94f-5ef6-46c7-b6d3-7d4f8c964925",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
Liberar correo puesto en cuarentena
Descripción
Libera el correo puesto en cuarentena.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de cola | Cadena | N/A | Sí | Especifica el ID de la cola del correo que se debe liberar. |
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Eliminar correo en cuarentena
Descripción
Elimina el correo en cuarentena.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de cola | Cadena | N/A | Sí | Especifica el ID de la cola del correo que se debe eliminar. |
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Descargar correo en cuarentena
Descripción
Descargar correo en cuarentena.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de cola | Cadena | N/A | Sí | Especifica el ID de la cola del correo que se debe descargar. |
| Ruta de descarga | Cadena | N/A | No | Especifica dónde debe guardar los archivos la acción. Si no se especifica nada, la acción no guardará el archivo en el disco. |
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Descargar artefactos de alerta
Descripción
Descarga los artefactos de la alerta.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| UUID de alerta | Cadena | N/A | Sí | Especifica el UUID de la alerta desde la que tenemos que descargar los artefactos. |
| Ruta de descarga | Cadena | N/A | No | Especifica dónde debe guardar los archivos la acción. Si no se especifica nada, la acción no guardará el archivo en el disco. |
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Conectores
FireEye EX - Alerts Connector
Configurar el conector de alertas de FireEye EX en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | eventType | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://x.x.x.x:x | Sí | Raíz de la API del servidor de Trellix Email Security - Server Edition. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Trellix Email Security - Server Edition. |
| Contraseña | Contraseña | Sí | Contraseña de la cuenta de Trellix Email Security - Server Edition. | |
| Fetch Max Hours Backwards | Entero | 1 | No | Número de horas desde las que se obtienen las alertas. El valor máximo admitido es 48. Esta es la limitación de Trellix Email Security - Server Edition. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor SonicWall es válido. |
| Dirección del servidor proxy | Cadena | No | Dirección del servidor proxy que se va a usar. | |
| Nombre de usuario del proxy | Cadena | No | Nombre de usuario del proxy para autenticarse. | |
| Contraseña del proxy | Contraseña | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.