Se usó la API de Cloud Translation para traducir esta página.

FireEye NX

Versión de integración: 8.0

Casos de uso

Ingiere alertas de Trellix Network Security para usarlas y crear alertas de Google Security Operations. A continuación, en Google SecOps, se pueden usar las alertas para realizar orquestaciones con guías o análisis manuales.
Realiza acciones de enriquecimiento: descarga artefactos de alertas con el agente de Trellix Network Security de Google SecOps.

Configura la integración de FireEye NX en Google SecOps

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la instancia	String	N/A	No	Nombre de la instancia para la que deseas configurar la integración.
Descripción	String	N/A	No	Es la descripción de la instancia.
Raíz de la API	String	https://x.x.x.x:<port>	Sí	Es la raíz de la API del servidor de Trellix Network Security.
Nombre de usuario	String	N/A	Sí	Nombre de usuario de la cuenta de Trellix Network Security.
Contraseña	Contraseña	N/A	Sí	Contraseña de la cuenta de Trellix Network Security.
Verificar SSL	Casilla de verificación	Marcado	No	Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Trellix Network Security sea válido.
Ejecutar de forma remota	Casilla de verificación	Desmarcado	No	Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Ping

Descripción

Prueba la conectividad con Trellix Network Security con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Ejecutar en

La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Muro de casos

Tipo de resultado	Valor / Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente, haz lo siguiente: Imprime "Se conectó correctamente al servidor de Trellix Network Security con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si no se pudo completar la acción, haz lo siguiente: Imprime el mensaje "No se pudo conectar al servidor de Trellix Network Security". Error is {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor / Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se realiza correctamente, haz lo siguiente:

Imprime "Se conectó correctamente al servidor de Trellix Network Security con los parámetros de conexión proporcionados".

La acción debería fallar y detener la ejecución de la guía:

Si no se pudo completar la acción, haz lo siguiente:

Imprime el mensaje "No se pudo conectar al servidor de Trellix Network Security". Error is {0}".format(exception.stacktrace)

General

Descarga artefactos de alertas

Descripción

Descarga artefactos de alertas.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
UUID de alerta	String	N/A	Sí	Especifica el UUID de la alerta desde la que necesitamos descargar artefactos.
Ruta de descarga	String	N/A	Sí	Especifica dónde debe guardar los archivos la acción.

Ejecutar en

La acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Muro de casos

Tipo de resultado	Valor / Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: if status code 200 (is_success = true): Imprime "Se descargaron correctamente los artefactos de alerta de Trellix Network Security con el ID de alerta {0}".format(UUID de alerta) if status code 200 (is_success = true): Imprime "No se pudieron descargar los artefactos de alerta de seguridad de la red de Trellix con el ID de alerta {0}. Reason: File with that path already exists." if status code 404 (is_success = false) : Imprime "No se encontraron artefactos para la alerta con UUID {0}. ".format(alert_uuid) La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente: Se imprimió el mensaje "Error al ejecutar la acción "Download Alert Artifacts". Reason: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Valor / Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

if status code 200 (is_success = true):

Imprime "Se descargaron correctamente los artefactos de alerta de Trellix Network Security con el ID de alerta {0}".format(UUID de alerta)

if status code 200 (is_success = true):

Imprime "No se pudieron descargar los artefactos de alerta de seguridad de la red de Trellix con el ID de alerta {0}. Reason: File with that path already exists."

if status code 404 (is_success = false) :

Imprime "No se encontraron artefactos para la alerta con UUID {0}. ".format(alert_uuid)

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, haz lo siguiente:

Se imprimió el mensaje "Error al ejecutar la acción "Download Alert Artifacts". Reason: {0}''.format(error.Stacktrace)

General

Agrega una excepción a la política de IPS

Descripción

Agrega una excepción de política de IPS en Trellix Network Security.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Subred de IP de la víctima	String	x.x.x.x/24	Sí	Especifica la subred de IP de la víctima que se debe usar para crear una nueva excepción de política. Formato: x.x.x.x/xx. Ejemplo: 10.0.0.1/24
Interfaz	DDL	TODOS Valores posibles A B C D TODOS	Sí	Especifica qué interfaz se debe usar en las excepciones de políticas.
Modo	DLL	Bloquear Valores posibles Bloquear Desbloquear Suprimir Suppress-unblock	Sí	Especifica el modo que se debe usar en la excepción de política.
Nombre	String	N/A	No	Especifica el nombre de la excepción de política. Si no se especifica nada, la acción agrega excepciones a la política con el siguiente nombre: `PRODUCT_NAME_INTERFACE_MODE`.

Ejecutar en

La acción se ejecuta en la entidad de IP.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Muro de casos

Tipo de resultado	Valor / Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de un playbook: Si el código de estado es 200 para al menos una entidad (is success=true): "Se agregaron correctamente excepciones de política de IPS en la seguridad de red de Trellix en función de las siguientes entidades: {0}". Si una o más entidades no funcionaron (código de estado 400) (is success=true): "No se pudieron agregar excepciones a la política de IPS en función de las siguientes entidades:\n{0}". Si no funcionó ninguna de las entidades, se mostrará el mensaje "No se creó ninguna excepción de política de IPS". La acción debe fallar y detener la ejecución del playbook: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Agregar excepción de política de IPS"". Reason: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Valor / Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
Si el código de estado es 200 para al menos una entidad (is success=true): "Se agregaron correctamente excepciones de política de IPS en la seguridad de red de Trellix en función de las siguientes entidades: {0}".

Si una o más entidades no funcionaron (código de estado 400) (is success=true): "No se pudieron agregar excepciones a la política de IPS en función de las siguientes entidades:\n{0}".

Si no funcionó ninguna de las entidades, se mostrará el mensaje "No se creó ninguna excepción de política de IPS".

La acción debe fallar y detener la ejecución del playbook:
Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Agregar excepción de política de IPS"". Reason: {0}''.format(error.Stacktrace)

General

Conectores

FireEye NX: conector de alertas

Descripción

El conector transfiere la alerta de seguridad de red de Trellix a Google SecOps.

Configura el conector de alertas de FireEye NX en Google SecOps

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo del producto	String	Nombre del producto	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento	String	eventType	Sí	Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno	String	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado.
Patrón de expresión regular del entorno	String	.*	No	Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos)	Número entero	180	Sí	Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	String	https://x.x.x.x:x	Sí	Es la raíz de la API del servidor de Trellix Network Security.
Nombre de usuario	String	N/A	Sí	Nombre de usuario de la cuenta de Trellix Network Security.
Contraseña	Contraseña		Sí	Contraseña de la cuenta de Trellix Network Security.
Recuperar horas máximas hacia atrás	Número entero	1	No	Cantidad de horas desde las que se recuperan las alertas.
Verificar SSL	Casilla de verificación	Marcado	Sí	Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Trellix Network Security sea válido.
Usar la lista blanca como lista negra	Casilla de verificación	Desmarcado	Sí	Si se habilita, la lista dinámica se usará como lista de bloqueo.
Dirección del servidor proxy	String	N/A	No	Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy	String	N/A	No	Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy	Contraseña	N/A	No	Contraseña del proxy para la autenticación.

Reglas del conector

Compatibilidad con proxy

El conector admite proxy.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.