FireEye EX
統合バージョン: 10.0
プロダクトのユースケース
- Trellix Email Security - Server Edition のアラートを取り込み、それらを使用して Google Security Operations のアラートを作成します。次に、Google SecOps でアラートを使用して、ハンドブックまたは手動分析でオーケストレーションを実行できます。
- 拡張アクションの実行 - Trellix Email Security - Server Edition からデータを取得して、Google SecOps アラートのデータを拡充します。
- アクティブなアクションを実行する - Google SecOps から Trellix Email Security - Server Edition エージェントを使用してメールをリリースまたは削除します。
Google SecOps で FireEye EX の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://<address>:\<port> | はい | Trellix Email Security - Server Edition サーバーの API ルート。 |
| ユーザー名 | 文字列 | なし | はい | Trellix Email Security - Server Edition アカウントのユーザー名。 |
| パスワード | パスワード | なし | はい | Trellix Email Security - Server Edition アカウントのパスワード。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、Trellix Email Security - Server Edition サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Trellix Email Security - Server Edition への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
検疫済みメールの一覧表示
説明
検疫済みのメールを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 開始時刻 | 文字列 | なし | いいえ | 指定した場合、開始時刻以降に作成されたメールのみが返されます。[Start Time] と [End Time] が指定されていない場合、アクションは過去 24 時間以内に隔離されたメールを返します。形式: YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| 終了時刻 | 文字列 | なし | いいえ | 指定した場合、終了時刻より前に作成されたメールのみが返されます。[Start Time] と [End Time] が指定されていない場合、アクションは過去 24 時間以内に隔離されたメールを返します。形式: YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| 送信者フィルタ | 文字列 | なし | いいえ | 指定した場合、この送信者からの隔離されたメールのみがすべて返されます。 |
| 件名フィルタ | 文字列 | なし | いいえ | 指定した場合、この件名のみの隔離されたメールがすべて返されます。 |
| 返されるメールの最大数 | 文字列 | なし | いいえ | 返されるメールの数を指定します。上限 は 10,000 これは Trellix Email Security - Server Edition の制限です。 |
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "9de3a94f-5ef6-46c7-b6d3-7d4f8c964925",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
検疫済みのメールを解放する
説明
検疫済みのメールを解放します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| キュー ID | 文字列 | なし | はい | リリースする必要があるメールのキュー ID を指定します。 |
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
検疫されたメールを削除する
説明
検疫されたメールを削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| キュー ID | 文字列 | なし | はい | 削除する必要があるメールのキュー ID を指定します。 |
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
Download Quarantined Email
説明
検疫されたメールをダウンロードします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| キュー ID | 文字列 | なし | はい | ダウンロードする必要があるメールのキュー ID を指定します。 |
| ダウンロード パス | 文字列 | なし | いいえ | アクションでファイルを保存する場所を指定します。何も指定しない場合、アクションはファイルをディスクに保存しません。 |
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
アラート アーティファクトをダウンロードします
説明
アラート アーティファクトをダウンロードします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート UUID | 文字列 | なし | はい | アーティファクトをダウンロードする必要があるアラートの UUID を指定します。 |
| ダウンロード パス | 文字列 | なし | いいえ | アクションでファイルを保存する場所を指定します。何も指定しない場合、アクションはファイルをディスクに保存しません。 |
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
コネクタ
FireEye EX - アラート コネクタ
Google SecOps で FireEye EX - Alerts Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | eventType | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://x.x.x.x:x | はい | Trellix Email Security - Server Edition サーバーの API ルート。 |
| ユーザー名 | 文字列 | なし | はい | Trellix Email Security - Server Edition アカウントのユーザー名。 |
| パスワード | パスワード | はい | Trellix Email Security - Server Edition アカウントのパスワード。 | |
| 遡る取得の最大時間数 | 整数 | 1 | いいえ | アラートを取得する時点からの時間数。サポートされている最大値は 48 です。 これは Trellix Email Security - Server Edition の制限です。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、SonicWall サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | いいえ | 使用するプロキシ サーバーのアドレス。 | |
| プロキシのユーザー名 | 文字列 | いいえ | 認証に使用するプロキシのユーザー名。 | |
| プロキシ パスワード | パスワード | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。