FireEye NX
Version de l'intégration : 8.0
Cas d'utilisation
- Ingérez les alertes Trellix Network Security pour les utiliser afin de créer des alertes Google Security Operations. Ensuite, dans Google SecOps, les alertes peuvent être utilisées pour effectuer des orchestrations avec des playbooks ou des analyses manuelles.
- Effectuez des actions d'enrichissement : téléchargez les artefacts d'alerte à l'aide de l'agent Trellix Network Security depuis Google SecOps.
Configurer l'intégration FireEye NX dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Racine de l'API | Chaîne | https://x.x.x.x:<port> | Oui | Racine de l'API du serveur Trellix Network Security. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Trellix Network Security. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Trellix Network Security. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Trellix Network Security est valide. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ping
Description
Testez la connectivité à Trellix Network Security avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : Imprimez "Successfully connected to the Trellix Network Security server with the provided connection parameters!" (Connexion au serveur Trellix Network Security réussie avec les paramètres de connexion fournis !) L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : Imprimez "Échec de la connexion au serveur Trellix Network Security ! Error is {0}".format(exception.stacktrace) |
Général |
Télécharger les artefacts d'alerte
Description
Téléchargez les artefacts d'alerte.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| UUID de l'alerte | Chaîne | N/A | Oui | Spécifiez l'UUID de l'alerte à partir de laquelle nous devons télécharger les artefacts. |
| Chemin de téléchargement | Chaîne | N/A | Oui | Indiquez où l'action doit enregistrer les fichiers. |
Exécuter sur
L'action ne s'exécute pas sur les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if status code 200 (is_success = true): Imprime "Successfully downloaded Trellix Network Security alert artifacts with alert id {0}!".format(alert uuid)
Imprime "L'action n'a pas pu télécharger les artefacts d'alerte Trellix Network Security avec l'ID d'alerte {0}. Motif : Un fichier portant ce chemin d'accès existe déjà." if status code 404 (is_success = false) : Imprime "Artifacts for alert with uuid {0} were not found. ".format(alert_uuid) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : Message "Erreur lors de l'exécution de l'action "Télécharger les artefacts d'alerte". Raison : {0}''.format(error.Stacktrace) |
Général |
Ajouter une exception à la règle IPS
Description
Ajoutez une exception de règle IPS dans Trellix Network Security.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Sous-réseau IP de la victime | Chaîne | x.x.x.x/24 | Oui | Spécifiez le sous-réseau IP de la victime qui doit être utilisé pour créer une exception à la règle. Format : x.x.x.x/xx. Exemple : 10.0.0.1/24 |
| Interface | LDD | TOUT Valeurs possibles A B C D TOUT |
Oui | Spécifiez l'interface à utiliser dans les exceptions aux règles. |
| Mode | DLL | Bloquer Valeurs possibles Bloquer Débloquer Supprimer Suppress-unblock |
Oui | Spécifiez le mode à utiliser dans l'exception de règle. |
| Nom | Chaîne | N/A | Non | Spécifiez le nom de l'exception à la règle. Si rien n'est spécifié, l'action ajoute des exceptions aux règles avec le nom suivant : PRODUCT_NAME_INTERFACE_MODE. |
Exécuter sur
L'action s'exécute sur l'entité IP.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si une ou plusieurs entités n'ont pas fonctionné (code d'état 400) (is success=true) : "L'action n'a pas pu ajouter d'exceptions aux règles IPS en fonction des entités suivantes :\n{0}". Si aucune des entités n'a fonctionné : "Aucune exception de règle IPS n'a été créée". |
Général |
Connecteurs
Connecteur FireEye NX - Alerts
Description
Le connecteur ingère les alertes Trellix Network Security dans Google SecOps.
Configurer le connecteur d'alertes FireEye NX dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | eventType | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://x.x.x.x:x | Oui | Racine de l'API du serveur Trellix Network Security. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Trellix Network Security. |
| Mot de passe | Mot de passe | Oui | Mot de passe du compte Trellix Network Security. | |
| Récupérer les heures Max en arrière | Integer | 1 | Non | Nombre d'heures à partir duquel récupérer les alertes. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Trellix Network Security est valide. |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste dynamique sera utilisée comme liste de blocage. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.