FireEye EX
Versão da integração: 10.0
Casos de uso de produtos
- Ingerir alertas do Trellix Email Security - Server Edition para usá-los na criação de alertas do Google Security Operations. Em seguida, no Google SecOps, os alertas podem ser usados para realizar orquestrações com playbooks ou análises manuais.
- Realize ações de enriquecimento: receba dados do Trellix Email Security - Server Edition para enriquecer dados nos alertas do Google SecOps.
- Realize ações ativas: libere/exclua e-mails usando o agente do Trellix Email Security - Server Edition no Google SecOps.
Configurar a integração do FireEye EX no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://<address>:\<port> | Sim | Raiz da API do servidor Trellix Email Security – Server Edition. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Trellix Email Security - Server Edition. |
| Senha | Senha | N/A | Sim | A senha da conta do Trellix Email Security - Server Edition. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor Trellix Email Security - Server Edition é válido. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Ping
Descrição
Teste a conectividade com o Trellix Email Security - Server Edition com os parâmetros fornecidos na página de configuração da integração na guia "Marketplace do Google Security Operations".
Parâmetros
N/A
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Listar e-mails em quarentena
Descrição
Listar e-mails em quarentena.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Horário de início | String | N/A | Não | Se especificado, somente os e-mails criados após o horário de início serão retornados. Se os horários de início e término não forem especificados, a ação vai retornar os e-mails em quarentena das últimas 24 horas. Formato: AAAA-MM-DD'T'HH:MM:SS.SSS-HHMM |
| Horário de término | String | N/A | Não | Se especificado, somente os e-mails criados antes do horário de término serão retornados. Se os horários de início e término não forem especificados, a ação vai retornar os e-mails em quarentena das últimas 24 horas. Formato: AAAA-MM-DD'T'HH:MM:SS.SSS-HHMM |
| Filtro de remetente | String | N/A | Não | Se especificado, retorna todos os e-mails em quarentena apenas deste remetente. |
| Filtro de assunto | String | N/A | Não | Se especificado, retorna todos os e-mails em quarentena apenas com esse assunto. |
| Número máximo de e-mails a serem retornados | String | N/A | Não | Especifique quantos e-mails serão retornados. O limite é 10.000. Essa é uma limitação do Trellix Email Security - Server Edition. |
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "9de3a94f-5ef6-46c7-b6d3-7d4f8c964925",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
Liberar e-mail em quarentena
Descrição
Libera o e-mail em quarentena.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da fila | String | N/A | Sim | Especifique o ID da fila do e-mail que precisa ser liberado. |
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Excluir e-mail em quarentena
Descrição
Exclua o e-mail em quarentena.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da fila | String | N/A | Sim | Especifique o ID da fila do e-mail que precisa ser excluído. |
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Baixar e-mail em quarentena
Descrição
Baixe o e-mail em quarentena.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da fila | String | N/A | Sim | Especifique o ID da fila do e-mail que precisa ser baixado. |
| Caminho de download | String | N/A | Não | Especifique onde a ação deve salvar os arquivos. Se nada for especificado, a ação não vai salvar o arquivo no disco. |
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Baixar artefatos de alerta
Descrição
Baixe os artefatos de alerta.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| UUID do alerta | String | N/A | Sim | Especifique o UUID do alerta de onde precisamos baixar os artefatos. |
| Caminho de download | String | N/A | Não | Especifique onde a ação deve salvar os arquivos. Se nada for especificado, a ação não vai salvar o arquivo no disco. |
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Conectores
Conector de alertas do FireEye EX
Configurar o conector de alertas do FireEye EX no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | eventType | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://x.x.x.x:x | Sim | Raiz da API do servidor Trellix Email Security – Server Edition. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Trellix Email Security - Server Edition. |
| Senha | Senha | Sim | Senha da conta do Trellix Email Security - Server Edition. | |
| Voltar o tempo máximo | Número inteiro | 1 | Não | Número de horas de onde buscar alertas. O valor máximo aceito é 48. Essa é a limitação do Trellix Email Security - Server Edition. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor SonicWall é válido. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a ser usado. | |
| Nome de usuário do proxy | String | Não | O nome de usuário do proxy para autenticação. | |
| Senha do proxy | Senha | Não | A senha do proxy para autenticação. |
Regras de conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.