FireEye NX
Versione integrazione: 8.0
Casi d'uso
- Inserisci gli avvisi di Trellix Network Security per utilizzarli per creare avvisi di Google Security Operations. Successivamente, in Google SecOps, gli avvisi possono essere utilizzati per eseguire orchestrazioni con playbook o analisi manuali.
- Esegui azioni di arricchimento: scarica gli artefatti degli avvisi utilizzando l'agente Trellix Network Security da Google SecOps.
Configura l'integrazione di FireEye NX in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Root API | Stringa | https://x.x.x.x:<port> | Sì | Radice API del server Trellix Network Security. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Trellix Network Security. |
| Password | Password | N/D | Sì | Password dell'account Trellix Network Security. |
| Verifica SSL | Casella di controllo | Selezionata | No | Se abilitata, verifica che il certificato SSL per la connessione al server Trellix Network Security sia valido. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Dindin
Descrizione
Testa la connettività a Trellix Network Security con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: Stampa "Connessione al server Trellix Network Security riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: In caso contrario: Stampa "Impossibile connettersi al server Trellix Network Security. Error is {0}".format(exception.stacktrace) |
Generale |
Scarica artefatti avviso
Descrizione
Scarica gli artefatti dell'avviso.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| UUID avviso | Stringa | N/D | Sì | Specifica l'UUID dell'avviso da cui dobbiamo scaricare gli artefatti. |
| Percorso di download | Stringa | N/D | Sì | Specifica la posizione in cui l'azione deve salvare i file. |
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: if status code 200 (is_success = true): Stampa "Successfully downloaded Trellix Network Security alert artifacts with alert id {0}!".format(alert uuid)
Stampa "Action wasn't able to download Trellix Network Security alert artifacts with alert id {0}. Motivo: esiste già un file con questo percorso." if status code 404 (is_success = false) : Stampa "Artifacts for alert with uuid {0} were not found. ".format(alert_uuid) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: Stampa "Error executing action "Download Alert Artifacts". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Aggiungi eccezione alle norme IPS
Descrizione
Aggiungi l'eccezione alla norma IPS in Trellix Network Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Subnet IP della vittima | Stringa | x.x.x.x/24 | Sì | Specifica la subnet IP della vittima da utilizzare per creare una nuova eccezione alla norma. Formato: x.x.x.x/xx. Esempio: 10.0.0.1/24 |
| Interfaccia | DDL | TUTTE Valori possibili A B C D TUTTE |
Sì | Specifica quale interfaccia deve essere utilizzata nelle eccezioni alle policy. |
| Modalità | DLL | Blocca Valori possibili Blocca Sblocca Ignora Suppress-unblock |
Sì | Specifica la modalità da utilizzare nell'eccezione al criterio. |
| Nome | Stringa | N/D | No | Specifica il nome dell'eccezione al criterio. Se non viene specificato nulla, l'azione aggiunge eccezioni ai criteri con il seguente nome:
PRODUCT_NAME_INTERFACE_MODE
. |
Run On
L'azione viene eseguita sull'entità IP.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se una o più entità non hanno funzionato (codice di stato 400) (is success=true): "L'azione non è riuscita ad aggiungere eccezioni alle norme IPS in base alle seguenti entità:\n{0}". Se nessuna delle entità ha funzionato: "Non è stata creata alcuna eccezione alla policy IPS". |
Generale |
Connettori
FireEye NX - Alerts Connector
Descrizione
Il connettore inserisce l'avviso di Trellix Network Security in Google SecOps.
Configura il connettore di avvisi FireEye NX in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | eventType | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://x.x.x.x:x | Sì | Radice API del server Trellix Network Security. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Trellix Network Security. |
| Password | Password | Sì | Password dell'account Trellix Network Security. | |
| Recupero ore massime a ritroso | Numero intero | 1 | No | Quantità di ore da cui recuperare gli avvisi. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Trellix Network Security sia valido. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se attivato, l'elenco dinamico verrà utilizzato come lista bloccata. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.