FireEye NX
Versi integrasi: 8.0
Kasus Penggunaan
- Menyerap pemberitahuan Trellix Network Security untuk menggunakannya dalam membuat pemberitahuan Google Security Operations. Selanjutnya, di Google SecOps, pemberitahuan dapat digunakan untuk melakukan orkestrasi dengan playbook atau analisis manual.
- Lakukan tindakan pengayaan - download artefak pemberitahuan menggunakan agen Trellix Network Security dari Google SecOps.
Mengonfigurasi integrasi FireEye NX di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Root API | String | https://x.x.x.x:<port> | Ya | Root API server Trellix Network Security. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun Trellix Network Security. |
| Sandi | Sandi | T/A | Ya | Sandi akun Trellix Network Security. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Trellix Network Security valid. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Ping
Deskripsi
Uji konektivitas ke Trellix Network Security dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Parameter
T/A
Run On
Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: Cetak "Successfully connected to the Trellix Network Security server with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: Mencetak "Gagal terhubung ke server Trellix Network Security! Error adalah {0}".format(exception.stacktrace) |
Umum |
Mendownload Artefak Pemberitahuan
Deskripsi
Download artefak pemberitahuan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| UUID pemberitahuan | String | T/A | Ya | Tentukan UUID pemberitahuan dari tempat kita perlu mendownload artefak. |
| Jalur Download | String | T/A | Ya | Tentukan tempat tindakan harus menyimpan file. |
Run On
Tindakan tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: jika kode status 200 (is_success = true): Mencetak "Successfully downloaded Trellix Network Security alert artifacts with alert id {0}!".format(alert uuid)
Mencetak "Action wasn't able to download Trellix Network Security alert artifacts with alert id {0}. Alasan: File dengan jalur tersebut sudah ada." jika kode status 404 (is_success = false) : Mencetak "Artefak untuk pemberitahuan dengan UUID {0} tidak ditemukan. ".format(alert_uuid) Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: Mencetak "Error saat menjalankan tindakan "Download Alert Artifacts". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Menambahkan Pengecualian Kebijakan IPS
Deskripsi
Menambahkan Pengecualian Kebijakan IPS di Trellix Network Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Subnet IP Korban | String | x.x.x.x/24 | Ya | Tentukan subnet IP korban yang harus digunakan untuk membuat pengecualian kebijakan baru. Format: x.x.x.x/xx. Contoh: 10.0.0.1/24 |
| Antarmuka | DDL | SEMUA Nilai yang Mungkin Muncul A B C D SEMUA |
Ya | Tentukan antarmuka yang harus digunakan dalam pengecualian kebijakan. |
| Mode | DLL | Blokir Nilai yang Mungkin Muncul Blokir Berhenti memblokir Menyembunyikan Suppress-unblock |
Ya | Tentukan mode yang harus digunakan dalam pengecualian kebijakan. |
| Nama | String | T/A | Tidak | Tentukan nama untuk pengecualian kebijakan. Jika tidak ada yang ditentukan, tindakan akan menambahkan pengecualian kebijakan dengan nama berikut:
PRODUCT_NAME_INTERFACE_MODE
. |
Run On
Tindakan ini dijalankan pada entity IP.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika satu atau beberapa entitas tidak berfungsi (kode status 400) (is success=true): "Tindakan tidak dapat menambahkan pengecualian kebijakan IPS berdasarkan entitas berikut:\n{0}". Jika tidak ada entitas yang berfungsi: "No IPS policy exception were created". |
Umum |
Konektor
FireEye NX - Alerts Connector
Deskripsi
Konektor menyerap pemberitahuan Trellix Network Security ke Google SecOps.
Mengonfigurasi FireEye NX - Alerts Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | eventType | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://x.x.x.x:x | Ya | Root API server Trellix Network Security. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun Trellix Network Security. |
| Sandi | Sandi | Ya | Sandi akun Trellix Network Security. | |
| Mengambil Mundur Jam Maksimum | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan pemberitahuan. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Trellix Network Security valid. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar yang tidak diizinkan. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan Konektor
Dukungan Proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.