FireEye NX
Versión de la integración: 8.0
Casos prácticos
- Ingiere alertas de Trellix Network Security para usarlas y crear alertas de Google Security Operations. A continuación, en Google SecOps, las alertas se pueden usar para realizar orquestaciones con guías o análisis manuales.
- Realizar acciones de enriquecimiento: descargar artefactos de alertas con el agente de seguridad de red de Trellix desde Google SecOps.
Configurar la integración de FireEye NX en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Raíz de la API | Cadena | https://x.x.x.x:<port> | Sí | Raíz de la API del servidor Trellix Network Security. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Trellix Network Security. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Trellix Network Security. |
| Verificar SSL | Casilla | Marcada | No | Si está habilitada, verifica que el certificado SSL de la conexión al servidor de seguridad de red de Trellix sea válido. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con Trellix Network Security con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se completa correctamente: Imprime "Successfully connected to the Trellix Network Security server with the provided connection parameters!" (Te has conectado correctamente al servidor de Trellix Network Security con los parámetros de conexión proporcionados). La acción debería fallar y detener la ejecución de una guía: Si no se resuelve correctamente: Imprime "No se ha podido conectar al servidor de seguridad de red de Trellix. Error: {0}".format(exception.stacktrace) |
General |
Descargar artefactos de alerta
Descripción
Descarga los artefactos de la alerta.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| UUID de alerta | Cadena | N/A | Sí | Especifica el UUID de la alerta desde la que tenemos que descargar los artefactos. |
| Ruta de descarga | Cadena | N/A | Sí | Especifica dónde debe guardar los archivos la acción. |
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el código de estado es 200 (is_success = true): Imprime "Successfully downloaded Trellix Network Security alert artifacts with alert id {0}!".format(alert uuid)
Imprime "No se han podido descargar los artefactos de alerta de seguridad de red de Trellix con el ID de alerta {0}. Motivo: ya existe un archivo con esa ruta". Si el código de estado es 404 (is_success = false) : Imprime "No se han encontrado artefactos de la alerta con UUID {0}. ".format(alert_uuid) La acción debería fallar y detener la ejecución de una guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Descargar artefactos de alerta". Motivo: {0}''.format(error.Stacktrace) |
General |
Añadir excepción de política de IPS
Descripción
Añade una excepción de política de IPS en Trellix Network Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Subred de IP de la víctima | Cadena | x.x.x.x/24 | Sí | Especifica la subred IP de la víctima que se debe usar para crear una nueva excepción de política. Formato: x.x.x.x/xx. Ejemplo: 10.0.0.1/24 |
| Interfaz | DDL | TODO Valores posibles A B C D TODO |
Sí | Especifica qué interfaz se debe usar en las excepciones de la política. |
| Modo | DLL | Bloquear Valores posibles Bloquear Desbloquear Suprimir Suprimir-desbloquear |
Sí | Especifica el modo que se debe usar en la excepción de la política. |
| Nombre | Cadena | N/A | No | Especifica el nombre de la excepción de la política. Si no se especifica nada, la acción añade excepciones de política con el siguiente nombre:
PRODUCT_NAME_INTERFACE_MODE
. |
Fecha de ejecución
La acción se ejecuta en la entidad de IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: Si una o varias entidades no han funcionado (código de estado 400) (is_success=true): "No se ha podido añadir excepciones de la política de IPs en función de las siguientes entidades:\n{0}". Si no funciona ninguna de las entidades: "No se ha creado ninguna excepción de política de IPS". |
General |
Conectores
FireEye NX - Alerts Connector
Descripción
El conector ingiere alertas de Trellix Network Security en Google SecOps.
Configurar el conector de alertas de FireEye NX en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | eventType | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://x.x.x.x:x | Sí | Raíz de la API del servidor Trellix Network Security. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Trellix Network Security. |
| Contraseña | Contraseña | Sí | Contraseña de la cuenta de Trellix Network Security. | |
| Fetch Max Hours Backwards | Entero | 1 | No | Número de horas desde las que se obtienen las alertas. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de seguridad de red de Trellix es válido. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si se habilita, la lista dinámica se usará como lista de bloqueo. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.