FireEye EX
Version de l'intégration : 10.0
Cas d'utilisation des produits
- Ingérez les alertes Trellix Email Security – Server Edition pour créer des alertes Google Security Operations. Ensuite, dans Google SecOps, les alertes peuvent être utilisées pour effectuer des orchestrations avec des playbooks ou des analyses manuelles.
- Effectuez des actions d'enrichissement : obtenez des données de Trellix Email Security – Server Edition pour enrichir les données dans les alertes Google SecOps.
- Effectuez des actions actives : libérez ou supprimez un e-mail à l'aide de l'agent Trellix Email Security – Server Edition depuis Google SecOps.
Configurer l'intégration FireEye EX dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Racine de l'API | Chaîne | https://<address>:\<port> | Oui | Racine de l'API du serveur Trellix Email Security – Server Edition. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Trellix Email Security – Server Edition. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Trellix Email Security – Server Edition. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Trellix Email Security – Server Edition est valide. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ping
Description
Testez la connectivité à Trellix Email Security – Server Edition avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Lister les e-mails mis en quarantaine
Description
Lister les e-mails mis en quarantaine.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Heure de début | Chaîne | N/A | Non | Si elle est spécifiée, seuls les e-mails créés après l'heure de début seront renvoyés. Si les heures de début et de fin ne sont pas spécifiées, l'action renvoie les e-mails mis en quarantaine au cours des dernières 24 heures. Format : AAAA-MM-JJ'T'HH:MM:SS.SSS-HHMM |
| Heure de fin | Chaîne | N/A | Non | Si cette option est spécifiée, seuls les e-mails créés avant l'heure de fin seront renvoyés. Si les heures de début et de fin ne sont pas spécifiées, l'action renvoie les e-mails mis en quarantaine au cours des dernières 24 heures. Format : AAAA-MM-JJ'T'HH:MM:SS.SSS-HHMM |
| Filtre d'expéditeur | Chaîne | N/A | Non | Si ce paramètre est spécifié, tous les e-mails mis en quarantaine de cet expéditeur uniquement sont renvoyés. |
| Filtre par sujet | Chaîne | N/A | Non | Si ce paramètre est spécifié, il renvoie tous les e-mails mis en quarantaine ayant cet objet. |
| Nombre maximal d'e-mails à renvoyer | Chaîne | N/A | Non | Indiquez le nombre d'e-mails à renvoyer. La limite est de 10 000. Il s'agit d'une limitation de Trellix Email Security – Server Edition. |
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "9de3a94f-5ef6-46c7-b6d3-7d4f8c964925",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
Libérer un e-mail mis en quarantaine
Description
Libère l'e-mail mis en quarantaine.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de la file d'attente | Chaîne | N/A | Oui | Spécifiez l'ID de la file d'attente de l'e-mail à libérer. |
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Supprimer un e-mail mis en quarantaine
Description
Supprimez l'e-mail mis en quarantaine.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de la file d'attente | Chaîne | N/A | Oui | Spécifiez l'ID de file d'attente de l'e-mail à supprimer. |
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Télécharger un e-mail mis en quarantaine
Description
Télécharger un e-mail mis en quarantaine
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de la file d'attente | Chaîne | N/A | Oui | Spécifiez l'ID de file d'attente de l'e-mail à télécharger. |
| Chemin de téléchargement | Chaîne | N/A | Non | Indiquez où l'action doit enregistrer les fichiers. Si rien n'est spécifié, l'action n'enregistre pas le fichier sur le disque. |
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Télécharger les artefacts d'alerte
Description
Téléchargez les artefacts d'alerte.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| UUID de l'alerte | Chaîne | N/A | Oui | Spécifiez l'UUID de l'alerte à partir de laquelle nous devons télécharger les artefacts. |
| Chemin de téléchargement | Chaîne | N/A | Non | Indiquez où l'action doit enregistrer les fichiers. Si rien n'est spécifié, l'action n'enregistre pas le fichier sur le disque. |
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Connecteurs
Connecteur FireEye EX – Alertes
Configurer le connecteur d'alertes FireEye EX dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | eventType | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://x.x.x.x:x | Oui | Racine de l'API du serveur Trellix Email Security – Server Edition. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Trellix Email Security – Server Edition. |
| Mot de passe | Mot de passe | Oui | Mot de passe du compte Trellix Email Security – Server Edition. | |
| Récupérer les heures Max en arrière | Integer | 1 | Non | Nombre d'heures à partir duquel récupérer les alertes. La valeur maximale acceptée est de 48. Il s'agit d'une limitation de Trellix Email Security – Server Edition. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur SonicWall est valide. |
| Adresse du serveur proxy | Chaîne | Non | Adresse du serveur proxy à utiliser. | |
| Nom d'utilisateur du proxy | Chaîne | Non | Nom d'utilisateur du proxy pour l'authentification. | |
| Mot de passe du proxy | Mot de passe | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.