FireEye NX
Integrationsversion: 8.0
Anwendungsbereiche
- Trellix Network Security-Warnungen aufnehmen, um damit Google Security Operations-Warnungen zu erstellen. In Google SecOps können dann mit Benachrichtigungen Orchestrierungen mit Playbooks oder manuelle Analysen durchgeführt werden.
- Anreicherungsaktionen durchführen – Benachrichtigungsartefakte mit dem Trellix Network Security-Agent von Google SecOps herunterladen.
FireEye NX-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
---|---|---|---|---|
Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
Beschreibung | String | – | Nein | Beschreibung der Instanz. |
API-Stamm | String | https://x.x.x.x:<port> | Ja | API-Stammverzeichnis des Trellix Network Security-Servers. |
Nutzername | String | – | Ja | Nutzername des Trellix Network Security-Kontos. |
Passwort | Passwort | – | Ja | Das Passwort des Trellix Network Security-Kontos. |
SSL überprüfen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Trellix Network Security-Server gültig ist. |
Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Trellix Network Security mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
Name des Scriptergebnisses | Wertoptionen | Beispiel |
---|---|---|
is_success | Wahr/falsch | is_success:False |
Fall-Repository
Ergebnistyp | Wert / Beschreibung | Typ |
---|---|---|
Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen: Bei Erfolg: Geben Sie „Successfully connected to the Trellix Network Security server with the provided connection parameters!“ aus. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn das nicht funktioniert: Geben Sie „Failed to connect to the Trellix Network Security server! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Warnungsartefakte herunterladen
Beschreibung
Laden Sie Warnungsartefakte herunter.
Parameter
Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
---|---|---|---|---|
Benachrichtigungs-UUID | String | – | Ja | Geben Sie die UUID der Benachrichtigung an, aus der wir Artefakte herunterladen müssen. |
Downloadpfad | String | – | Ja | Geben Sie an, wo die Dateien gespeichert werden sollen. |
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
Name des Scriptergebnisses | Wertoptionen | Beispiel |
---|---|---|
is_success | Wahr/falsch | is_success:False |
Fall-Repository
Ergebnistyp | Wert / Beschreibung | Typ |
---|---|---|
Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen: if status code 200 (is_success = true): Geben Sie „Successfully downloaded Trellix Network Security alert artifacts with alert id {0}!“.format(alert uuid) aus.
Gibt „Action wasn't able to download Trellix Network Security alert artifacts with alert id {0}. Grund: Eine Datei mit diesem Pfad ist bereits vorhanden.“ if status code 404 (is_success = false) : Gibt „Artifacts for alert with uuid {0} were not found. ".format(alert_uuid) Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: Gibt „Error executing action ‚Download Alert Artifacts‘“ (Fehler beim Ausführen der Aktion „Benachrichtigungsartefakte herunterladen“) aus. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
IPS-Richtlinienausnahme hinzufügen
Beschreibung
Fügen Sie in Trellix Network Security eine Ausnahme für die IPS-Richtlinie hinzu.
Parameter
Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
---|---|---|---|---|
IP-Subnetz des Opfers | String | x.x.x.x/24 | Ja | Geben Sie das IP-Subnetz des Opfers an, das zum Erstellen einer neuen Richtlinienausnahme verwendet werden soll. Format: x.x.x.x/xx. Beispiel: 10.0.0.1/24 |
Schnittstelle | DDL | ALLE Mögliche Werte A B C D ALLE |
Ja | Geben Sie an, welche Schnittstelle in Richtlinienausnahmen verwendet werden soll. |
Modus | DLL | Blockieren Mögliche Werte Blockieren Blockierung aufheben Unterdrücken Suppress-unblock |
Ja | Geben Sie den Modus an, der in der Richtlinienausnahme verwendet werden soll. |
Name | String | – | Nein | Geben Sie einen Namen für die Richtlinienausnahme an. Wenn nichts angegeben ist, werden durch die Aktion Richtlinienausnahmen mit dem folgenden Namen hinzugefügt:
PRODUCT_NAME_INTERFACE_MODE
. |
Ausführen am
Die Aktion wird für die IP-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
Name des Scriptergebnisses | Wertoptionen | Beispiel |
---|---|---|
is_success | Wahr/falsch | is_success:False |
Fall-Repository
Ergebnistyp | Wert / Beschreibung | Typ |
---|---|---|
Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Wenn eine oder mehrere Einheiten nicht funktioniert haben (Statuscode 400) (is success=true): „Action wasn't able to add IPS policy exceptions based on the following entities:\n{0}“. Wenn keine der Entitäten funktioniert hat: „Es wurden keine IPS-Richtlinienausnahmen erstellt.“ |
Allgemein |
Connectors
FireEye NX – Alerts Connector
Beschreibung
Der Connector nimmt Trellix Network Security-Warnungen in Google SecOps auf.
FireEye NX-Connector für Benachrichtigungen in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
---|---|---|---|---|
Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
Name des Ereignisfelds | String | eventType | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
API-Stamm | String | https://x.x.x.x:x | Ja | API-Stammverzeichnis des Trellix Network Security-Servers. |
Nutzername | String | – | Ja | Nutzername des Trellix Network Security-Kontos. |
Passwort | Passwort | Ja | Das Passwort des Trellix Network Security-Kontos. | |
Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Benachrichtigungen abgerufen werden sollen. |
SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird das SSL-Zertifikat für die Verbindung zum Trellix Network Security-Server geprüft. |
Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die dynamische Liste als Sperrliste verwendet. |
Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten