FireEye EX
整合版本:10.0
產品用途
- 擷取 Trellix Email Security - Server Edition 快訊,用於建立 Google Security Operations 快訊。接著,您可以在 Google SecOps 中使用快訊,透過應對手冊或手動分析執行協調作業。
- 執行充實動作 - 從 Trellix Email Security - Server Edition 取得資料,以充實 Google SecOps 快訊中的資料。
- 執行主動動作 - 使用 Google SecOps 中的 Trellix Email Security - Server Edition 代理程式發布/刪除電子郵件。
在 Google SecOps 中設定 FireEye EX 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根層級 | 字串 | https://<address>:\<port> | 是 | Trellix Email Security - Server Edition 伺服器的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Trellix Email Security - Server Edition 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | Trellix Email Security - Server Edition 帳戶的密碼。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,系統會驗證連線至 Trellix Email Security - Server Edition 伺服器的 SSL 憑證是否有效。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Trellix Email Security - Server Edition 的連線。
參數
不適用
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
列出遭到隔離的電子郵件
說明
列出遭到隔離的電子郵件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 開始時間 | 字串 | 不適用 | 否 | 如果指定開始時間,系統只會傳回該時間之後建立的電子郵件。如未指定開始時間和結束時間,動作會傳回過去 24 小時內遭隔離的電子郵件。格式:YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| 結束時間 | 字串 | 不適用 | 否 | 如果指定結束時間,系統只會傳回在結束時間前建立的電子郵件。如未指定開始時間和結束時間,動作會傳回過去 24 小時內遭隔離的電子郵件。格式:YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| 寄件者篩選器 | 字串 | 不適用 | 否 | 如果指定,系統只會傳回來自這位寄件者的所有隔離電子郵件。 |
| 主旨篩選器 | 字串 | 不適用 | 否 | 如果指定,則只會傳回主旨符合條件的所有隔離電子郵件。 |
| 要傳回的電子郵件數量上限 | 字串 | 不適用 | 否 | 指定要傳回的電子郵件數量。上限為 10,000。這是 Trellix Email Security - Server Edition 的限制。 |
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "9de3a94f-5ef6-46c7-b6d3-7d4f8c964925",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxxx@xxxx-xxx.xxxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
釋出遭到隔離的電子郵件
說明
釋出隔離的電子郵件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 佇列 ID | 字串 | 不適用 | 是 | 指定需要釋放的電子郵件佇列 ID。 |
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
刪除已隔離的電子郵件
說明
刪除已隔離的電子郵件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 佇列 ID | 字串 | 不適用 | 是 | 指定要刪除的電子郵件佇列 ID。 |
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
下載遭到隔離的電子郵件
說明
下載遭到隔離的電子郵件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 佇列 ID | 字串 | 不適用 | 是 | 指定要下載的電子郵件佇列 ID。 |
| 下載路徑 | 字串 | 不適用 | 否 | 指定動作應將檔案儲存到何處。如未指定任何項目,動作就不會將檔案儲存到磁碟。 |
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
下載快訊構件
說明
下載快訊構件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 快訊 UUID | 字串 | 不適用 | 是 | 指定要從哪個快訊 UUID 下載構件。 |
| 下載路徑 | 字串 | 不適用 | 否 | 指定動作應將檔案儲存到何處。如未指定任何項目,動作就不會將檔案儲存到磁碟。 |
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
連接器
FireEye EX - Alerts Connector
在 Google SecOps 中設定 FireEye EX - Alerts 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | eventType | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://x.x.x.x:x | 是 | Trellix Email Security - Server Edition 伺服器的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Trellix Email Security - Server Edition 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 是 | Trellix Email Security - Server Edition 帳戶的密碼。 | |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取警示的小時數。支援的最大值為 48。 這是 Trellix Email Security - Server Edition 的限制。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,請確認連線至 SonicWall 伺服器的 SSL 憑證有效。 |
| Proxy 伺服器位址 | 字串 | 否 | 要使用的 Proxy 伺服器位址。 | |
| Proxy 使用者名稱 | 字串 | 否 | 用於驗證的 Proxy 使用者名稱。 | |
| Proxy 密碼 | 密碼 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。