FireEye NX

Integrationsversion: 8.0

Anwendungsbereiche

  1. Trellix Network Security-Warnungen aufnehmen, um damit Google Security Operations-Warnungen zu erstellen. In Google SecOps können dann mit Benachrichtigungen Orchestrierungen mit Playbooks oder manuelle Analysen durchgeführt werden.
  2. Anreicherungsaktionen durchführen – Benachrichtigungsartefakte mit dem Trellix Network Security-Agent von Google SecOps herunterladen.

FireEye NX-Integration in Google SecOps konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Instanzname String Nein Name der Instanz, für die Sie die Integration konfigurieren möchten.
Beschreibung String Nein Beschreibung der Instanz.
API-Stamm String https://x.x.x.x:<port> Ja API-Stammverzeichnis des Trellix Network Security-Servers.
Nutzername String Ja Nutzername des Trellix Network Security-Kontos.
Passwort Passwort Ja Das Passwort des Trellix Network Security-Kontos.
SSL überprüfen Kästchen Aktiviert Nein Wenn diese Option aktiviert ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Trellix Network Security-Server gültig ist.
Remote ausführen Kästchen Deaktiviert Nein Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu Trellix Network Security mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

Ausführen am

Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen:

Bei Erfolg:

Geben Sie „Successfully connected to the Trellix Network Security server with the provided connection parameters!“ aus.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Wenn das nicht funktioniert:

Geben Sie „Failed to connect to the Trellix Network Security server! Fehler: {0}".format(exception.stacktrace)

Allgemein

Warnungsartefakte herunterladen

Beschreibung

Laden Sie Warnungsartefakte herunter.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Benachrichtigungs-UUID String Ja Geben Sie die UUID der Benachrichtigung an, aus der wir Artefakte herunterladen müssen.
Downloadpfad String Ja Geben Sie an, wo die Dateien gespeichert werden sollen.

Ausführen am

Die Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen:

if status code 200 (is_success = true):

Geben Sie „Successfully downloaded Trellix Network Security alert artifacts with alert id {0}!“.format(alert uuid) aus.


if status code 200 (is_success = true):

Gibt „Action wasn't able to download Trellix Network Security alert artifacts with alert id {0}. Grund: Eine Datei mit diesem Pfad ist bereits vorhanden.“

if status code 404 (is_success = false) :

Gibt „Artifacts for alert with uuid {0} were not found. ".format(alert_uuid)

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges:

Gibt „Error executing action ‚Download Alert Artifacts‘“ (Fehler beim Ausführen der Aktion „Benachrichtigungsartefakte herunterladen“) aus. Grund: {0}''.format(error.Stacktrace)

Allgemein

IPS-Richtlinienausnahme hinzufügen

Beschreibung

Fügen Sie in Trellix Network Security eine Ausnahme für die IPS-Richtlinie hinzu.

Parameter

Anzeigename des Parameters Typ Standardwert Pflichtfeld Beschreibung
IP-Subnetz des Opfers String x.x.x.x/24 Ja Geben Sie das IP-Subnetz des Opfers an, das zum Erstellen einer neuen Richtlinienausnahme verwendet werden soll. Format: x.x.x.x/xx. Beispiel: 10.0.0.1/24
Schnittstelle DDL

ALLE

Mögliche Werte

A

B

C

D

ALLE

Ja Geben Sie an, welche Schnittstelle in Richtlinienausnahmen verwendet werden soll.
Modus DLL

Blockieren

Mögliche Werte

Blockieren

Blockierung aufheben

Unterdrücken

Suppress-unblock

Ja Geben Sie den Modus an, der in der Richtlinienausnahme verwendet werden soll.
Name String Nein Geben Sie einen Namen für die Richtlinienausnahme an. Wenn nichts angegeben ist, werden durch die Aktion Richtlinienausnahmen mit dem folgenden Namen hinzugefügt: PRODUCT_NAME_INTERFACE_MODE .

Ausführen am

Die Aktion wird für die IP-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success Wahr/falsch is_success:False
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:
Wenn der Statuscode für mindestens eine Entität 200 ist (success=true): „Es wurden erfolgreich IPS-Richtlinienausnahmen in Trellix Network Security basierend auf den folgenden Entitäten hinzugefügt: {0}!“

Wenn eine oder mehrere Einheiten nicht funktioniert haben (Statuscode 400) (is success=true): „Action wasn't able to add IPS policy exceptions based on the following entities:\n{0}“.

Wenn keine der Entitäten funktioniert hat: „Es wurden keine IPS-Richtlinienausnahmen erstellt.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server oder anderen: „Fehler beim Ausführen der Aktion ‚IPS-Richtlinienausnahme hinzufügen‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

Connectors

FireEye NX – Alerts Connector

Beschreibung

Der Connector nimmt Trellix Network Security-Warnungen in Google SecOps auf.

FireEye NX-Connector für Benachrichtigungen in Google SecOps konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Produktfeldname String Produktname Ja Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds String eventType Ja Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds String "" Nein

Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist.

Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.

Regex-Muster für Umgebung String .* Nein

Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird.

Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben.

Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten.

Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.

Zeitlimit für Script (Sekunden) Ganzzahl 180 Ja Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm String https://x.x.x.x:x Ja API-Stammverzeichnis des Trellix Network Security-Servers.
Nutzername String Ja Nutzername des Trellix Network Security-Kontos.
Passwort Passwort Ja Das Passwort des Trellix Network Security-Kontos.
Maximale Stunden rückwärts abrufen Ganzzahl 1 Nein Anzahl der Stunden, ab denen Benachrichtigungen abgerufen werden sollen.
SSL überprüfen Kästchen Aktiviert Ja Wenn diese Option aktiviert ist, wird das SSL-Zertifikat für die Verbindung zum Trellix Network Security-Server geprüft.
Zulassungsliste als Sperrliste verwenden Kästchen Deaktiviert Ja Wenn diese Option aktiviert ist, wird die dynamische Liste als Sperrliste verwendet.
Proxyserveradresse String Nein Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername String Nein Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort Passwort Nein Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Proxyunterstützung

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten