FireEye EX
Versão da integração: 10.0
Exemplos de utilização de produtos
- Ingira alertas do Trellix Email Security – Server Edition para os usar na criação de alertas do Google Security Operations. Em seguida, no Google SecOps, os alertas podem ser usados para realizar orquestrações com manuais de procedimentos ou análises manuais.
- Realizar ações de enriquecimento: obtenha dados do Trellix Email Security – Server Edition para enriquecer dados nos alertas do Google SecOps.
- Realize ações ativas: publique/elimine o email através do agente Trellix Email Security – Server Edition a partir do Google SecOps.
Configure a integração do FireEye EX no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://<address>:\<port> | Sim | Raiz da API do servidor Trellix Email Security - Server Edition. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Trellix Email Security - Server Edition. |
| Palavra-passe | Palavra-passe | N/A | Sim | A palavra-passe da conta do Trellix Email Security - Server Edition. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor do Trellix Email Security - Server Edition é válido. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Tchim-tchim
Descrição
Teste a conetividade à Trellix Email Security – Server Edition com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Apresentar emails em quarentena
Descrição
Liste os emails em quarentena.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Hora de início | String | N/A | Não | Se especificado, apenas são devolvidos os emails criados após a hora de início. Se a hora de início e a hora de fim não forem especificadas, a ação devolve emails em quarentena das últimas 24 horas. Formato: AAAA-MM-DD'T'HH:MM:SS.SSS-HHMM |
| Hora de fim | String | N/A | Não | Se especificado, apenas são devolvidos os emails criados antes da hora de fim. Se a hora de início e a hora de fim não forem especificadas, a ação devolve emails em quarentena das últimas 24 horas. Formato: AAAA-MM-DD'T'HH:MM:SS.SSS-HHMM |
| Filtro de remetente | String | N/A | Não | Se especificado, devolve todos os emails em quarentena apenas deste remetente. |
| Filtro de assunto | String | N/A | Não | Se especificado, devolve todos os emails em quarentena apenas com este assunto. |
| Número máximo de emails a devolver | String | N/A | Não | Especifique o número de emails a devolver. O limite é 10 000. Esta é uma limitação da Trellix Email Security – Server Edition. |
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "9de3a94f-5ef6-46c7-b6d3-7d4f8c964925",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
Libertar email em quarentena
Descrição
Liberta o email em quarentena.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da fila | String | N/A | Sim | Especifique o ID da fila do email que tem de ser libertado. |
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Elimine o email em quarentena
Descrição
Elimine o email em quarentena.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da fila | String | N/A | Sim | Especifique o ID da fila do email que tem de ser eliminado. |
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Transfira o email em quarentena
Descrição
Transfira o email em quarentena.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da fila | String | N/A | Sim | Especifique o ID da fila do email que tem de ser transferido. |
| Caminho de transferência | String | N/A | Não | Especifique onde a ação deve guardar os ficheiros. Se não for especificado nada, a ação não guarda o ficheiro no disco. |
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Transfira artefactos de alertas
Descrição
Transfira artefactos de alertas.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| UUID do alerta | String | N/A | Sim | Especifique o UUID do alerta a partir do qual temos de transferir os artefactos. |
| Caminho de transferência | String | N/A | Não | Especifique onde a ação deve guardar os ficheiros. Se não for especificado nada, a ação não guarda o ficheiro no disco. |
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Conetores
FireEye EX - Conetor de alertas
Configure o conetor de alertas do FireEye EX no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | eventType | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://x.x.x.x:x | Sim | Raiz da API do servidor Trellix Email Security - Server Edition. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Trellix Email Security - Server Edition. |
| Palavra-passe | Palavra-passe | Sim | Palavra-passe da conta do Trellix Email Security - Server Edition. | |
| Fetch Max Hours Backwards | Número inteiro | 1 | Não | Número de horas a partir das quais recolher alertas. O valor máximo suportado é 48. Esta é a limitação da Trellix Email Security – Server Edition. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor SonicWall é válido. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a usar. | |
| Nome de utilizador do proxy | String | Não | O nome de utilizador do proxy para autenticação. | |
| Palavra-passe do proxy | Palavra-passe | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.