FireEye EX
Versione integrazione: 10.0
Casi d'uso del prodotto
- Importa gli avvisi di Trellix Email Security - Server Edition per utilizzarli per creare avvisi di Google Security Operations. Successivamente, in Google SecOps, gli avvisi possono essere utilizzati per eseguire orchestrazioni con playbook o analisi manuali.
- Esegui azioni di arricchimento: recupera i dati da Trellix Email Security - Server Edition per arricchire i dati negli avvisi di Google SecOps.
- Esegui azioni attive: rilascia/elimina l'email utilizzando l'agente Trellix Email Security - Server Edition da Google SecOps.
Configura l'integrazione di FireEye EX in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Root API | Stringa | https://<address>:\<port> | Sì | Radice API del server Trellix Email Security - Server Edition. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Trellix Email Security - Server Edition. |
| Password | Password | N/D | Sì | La password dell'account Trellix Email Security - Server Edition. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server Trellix Email Security - Server Edition sia valido. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Dindin
Descrizione
Verifica la connettività a Trellix Email Security - Server Edition con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Elenco email in quarantena
Descrizione
Elenca le email in quarantena.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Ora di inizio | Stringa | N/D | No | Se specificato, verranno restituite solo le email create dopo l'ora di inizio. Se non vengono specificati l'ora di inizio e l'ora di fine, l'azione restituisce le email in quarantena delle ultime 24 ore. Formato: AAAA-MM-GG'T'HH:MM:SS.SSS-HHMM |
| Ora di fine | Stringa | N/D | No | Se specificato, verranno restituite solo le email create prima dell'ora di fine. Se non vengono specificati l'ora di inizio e l'ora di fine, l'azione restituisce le email in quarantena delle ultime 24 ore. Formato: AAAA-MM-GG'T'HH:MM:SS.SSS-HHMM |
| Filtro mittente | Stringa | N/D | No | Se specificato, restituisce tutte le email in quarantena solo di questo mittente. |
| Filtro per oggetto | Stringa | N/D | No | Se specificato, restituisce tutte le email in quarantena solo con questo oggetto. |
| Numero massimo di email da restituire | Stringa | N/D | No | Specifica il numero di email da restituire. Il limite è 10.000. Si tratta di una limitazione di Trellix Email Security - Server Edition. |
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "9de3a94f-5ef6-46c7-b6d3-7d4f8c964925",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
Rilasciare l'email in quarantena
Descrizione
Rilascia l'email messa in quarantena.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID coda | Stringa | N/D | Sì | Specifica l'ID coda dell'email da rilasciare. |
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Elimina email in quarantena
Descrizione
Elimina l'email in quarantena.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID coda | Stringa | N/D | Sì | Specifica l'ID coda dell'email da eliminare. |
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Scarica email in quarantena
Descrizione
Scarica l'email messa in quarantena.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID coda | Stringa | N/D | Sì | Specifica l'ID coda dell'email da scaricare. |
| Percorso di download | Stringa | N/D | No | Specifica la posizione in cui l'azione deve salvare i file. Se non viene specificato nulla, l'azione non salverà il file sul disco. |
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Scarica artefatti avviso
Descrizione
Scarica gli artefatti dell'avviso.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| UUID avviso | Stringa | N/D | Sì | Specifica l'UUID dell'avviso da cui dobbiamo scaricare gli artefatti. |
| Percorso di download | Stringa | N/D | No | Specifica la posizione in cui l'azione deve salvare i file. Se non viene specificato nulla, l'azione non salverà il file sul disco. |
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Connettori
FireEye EX - Alerts Connector
Configura il connettore di avvisi FireEye EX in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | eventType | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://x.x.x.x:x | Sì | Radice API del server Trellix Email Security - Server Edition. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Trellix Email Security - Server Edition. |
| Password | Password | Sì | Password dell'account Trellix Email Security - Server Edition. | |
| Recupero ore massime a ritroso | Numero intero | 1 | No | Quantità di ore da cui recuperare gli avvisi. Il valore massimo supportato è 48. Questa è la limitazione di Trellix Email Security - Server Edition. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server SonicWall sia valido. |
| Indirizzo del server proxy | Stringa | No | L'indirizzo del server proxy da utilizzare. | |
| Nome utente proxy | Stringa | No | Il nome utente del proxy con cui eseguire l'autenticazione. | |
| Password proxy | Password | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.