FireEye EX
Versión de integración: 10.0
Casos de uso del producto
- Ingiere alertas de Trellix Email Security - Server Edition para usarlas y crear alertas de Google Security Operations. A continuación, en Google SecOps, se pueden usar las alertas para realizar orquestaciones con guías o análisis manuales.
- Realiza acciones de enriquecimiento: Obtén datos de Trellix Email Security - Server Edition para enriquecer los datos en las Alertas de Google SecOps.
- Realizar acciones activas: liberar o borrar correos electrónicos con el agente de Trellix Email Security - Server Edition desde Google SecOps
Configura la integración de FireEye EX en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | String | https://<dirección>:\<puerto> | Sí | Es la raíz de la API del servidor de Trellix Email Security - Server Edition. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Trellix Email Security - Server Edition. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Trellix Email Security - Server Edition. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Trellix Email Security - Server Edition sea válido. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con Trellix Email Security - Server Edition con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Enumera los correos electrónicos en cuarentena
Descripción
Enumera los correos electrónicos en cuarentena.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Hora de inicio | String | N/A | No | Si se especifica, solo se devolverán los correos electrónicos que se crearon después de la hora de inicio. Si no se especifican la hora de inicio y la hora de finalización, la acción devolverá los correos electrónicos en cuarentena de las últimas 24 horas. Formato: AAAA-MM-DD"T"HH:MM:SS.SSS-HHMM |
| Hora de finalización | String | N/A | No | Si se especifica, solo se devolverán los correos electrónicos que se crearon antes de la hora de finalización. Si no se especifican la hora de inicio y la hora de finalización, la acción devolverá los correos electrónicos en cuarentena de las últimas 24 horas. Formato: AAAA-MM-DD"T"HH:MM:SS.SSS-HHMM |
| Filtro de remitente | String | N/A | No | Si se especifica, devuelve todos los correos electrónicos en cuarentena solo de este remitente. |
| Filtro de asunto | String | N/A | No | Si se especifica, devuelve todos los correos electrónicos en cuarentena solo con este asunto. |
| Cantidad máxima de correos electrónicos que se pueden devolver | String | N/A | No | Especifica cuántos correos electrónicos se devolverán. El límite es 10,000. Esta es una limitación de Trellix Email Security - Server Edition. |
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "9de3a94f-5ef6-46c7-b6d3-7d4f8c964925",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
Cómo liberar un correo electrónico en cuarentena
Descripción
Libera el correo electrónico en cuarentena.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de cola | String | N/A | Sí | Especifica el ID de la cola del correo electrónico que se debe liberar. |
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Borrar correo electrónico en cuarentena
Descripción
Borra el correo electrónico en cuarentena.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de cola | String | N/A | Sí | Especifica el ID de la cola del correo electrónico que se debe borrar. |
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Descargar el correo electrónico en cuarentena
Descripción
Descarga el correo electrónico en cuarentena.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de cola | String | N/A | Sí | Especifica el ID de la fila del correo electrónico que se debe descargar. |
| Ruta de descarga | String | N/A | No | Especifica dónde debe guardar los archivos la acción. Si no se especifica nada, la acción no guardará el archivo en el disco. |
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Descarga artefactos de alertas
Descripción
Descarga artefactos de alertas.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| UUID de alerta | String | N/A | Sí | Especifica el UUID de la alerta desde la que necesitamos descargar artefactos. |
| Ruta de descarga | String | N/A | No | Especifica dónde debe guardar los archivos la acción. Si no se especifica nada, la acción no guardará el archivo en el disco. |
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Conectores
Conector de alertas de FireEye EX
Configura el conector de alertas de FireEye EX en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | eventType | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://x.x.x.x:x | Sí | Es la raíz de la API del servidor de Trellix Email Security - Server Edition. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Trellix Email Security - Server Edition. |
| Contraseña | Contraseña | Sí | Contraseña de la cuenta de Trellix Email Security - Server Edition. | |
| Recuperar horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperan las alertas. El valor máximo admitido es 48. Esta es la limitación de Trellix Email Security - Server Edition. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de SonicWall sea válido. |
| Dirección del servidor proxy | String | No | Es la dirección del servidor proxy que se usará. | |
| Nombre de usuario del proxy | String | No | Nombre de usuario del proxy con el que se realizará la autenticación. | |
| Contraseña de proxy | Contraseña | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.