FireEye NX
統合バージョン: 8.0
ユースケース
- Trellix Network Security のアラートを取り込み、それらを使用して Google Security Operations のアラートを作成します。次に、Google SecOps でアラートを使用して、ハンドブックまたは手動分析でオーケストレーションを実行できます。
- 拡張アクションの実行 - Google SecOps から Trellix Network Security エージェントを使用してアラート アーティファクトをダウンロードします。
Google SecOps で FireEye NX の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://x.x.x.x:<port> | ○ | Trellix ネットワーク セキュリティ サーバーの API ルート。 |
| ユーザー名 | 文字列 | なし | ○ | Trellix ネットワーク セキュリティ アカウントのユーザー名。 |
| パスワード | パスワード | なし | ○ | Trellix ネットワーク セキュリティ アカウントのパスワード。 |
| SSL を確認 | チェックボックス | オン | いいえ | 有効になっている場合は、Trellix ネットワーク セキュリティ サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Trellix ネットワーク セキュリティ への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功した場合: 「提供された接続パラメーターでTrellix ネットワーク セキュリティ サーバーへの接続に成功しました」と出力します。 アクションが失敗し、Playbook の実行が停止します。 不成功の場合: 「Trellix ネットワーク セキュリティ サーバーへの接続に失敗しました」と出力します。エラーは、{0}".format(exception.stacktrace) です。 |
一般 |
アラート アーティファクトをダウンロードします
説明
アラート アーティファクトをダウンロードします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート UUID | 文字列 | なし | ○ | アーティファクトをダウンロードする必要があるアラートの UUID を指定します。 |
| ダウンロード パス | 文字列 | なし | ○ | アクションでファイルを保存する場所を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 ステータス コード 200(is_success = true)の場合: 「アラートID{0}!".format(alert uuid) の Trellix ネットワーク セキュリティ通知アーティファクトのダウンロードに成功しました」を出力します。
以下を出力します。「アクションはアラート ID {0} を持つ Trellix ネットワーク セキュリティ通知アーティファクトをダウンロードできませんでした。理由: そのパスのファイルはすでに存在します。」 ステータス コード 404(is_success = false)の場合: 「UUID {0} のアラートのアーティファクトが見つかりませんでした。".format(alert_uuid) アクションが失敗し、Playbook の実行が停止します。 認証情報の誤り、サーバーへの接続がないなど、致命的なエラーの場合: 「エラー実行中のアクション「アラート アーティファクトをダウンロード」」を出力します。理由: {0}」.format(error.Stacktrace) |
一般 |
IPS ポリシーの例外を追加する
説明
Trellix ネットワーク セキュリティで IPS ポリシーの例外を追加します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| 被害者の IP サブネット | 文字列 | x.x.x.x/24 | ○ | 新しいポリシー例外の作成に使用する被害者の IP サブネットを指定します。形式: x.x.x.x/xx. 例: 10.0.0.1/24 |
| インターフェース | DDL | すべて 指定できる値 A B C D. すべて |
○ | ポリシー例外で使用するインターフェースを指定します。 |
| モード | DLL | ブロック 指定できる値 ブロック ブロックを解除 Suppress Suppress-unblock |
○ | ポリシー例外で使用するモードを指定します。 |
| Name | 文字列 | なし | いいえ | ポリシー例外の名前を指定します。何も指定しない場合、このアクションは PRODUCT_NAME_INTERFACE_MODE という名前のポリシー例外を追加します。 |
実行
このアクションは IP エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりしないようにする必要があります。 1 つ以上のエンティティが機能しなかった場合(ステータス コード 400)(成功=true): 「次のエンティティに基づいて、アクションで IPS ポリシーの例外を追加できませんでした:
:\n{0} 「. どのエンティティも機能していない場合: 「IPS ポリシーの例外が作成されました」。 |
一般 |
コネクタ
FireEye NX - アラート コネクタ
説明
コネクタは、Trellix ネットワーク セキュリティ アラートを Google SecOps に取り込みます。
Google SecOps で FireEye NX - アラート コネクタを構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | eventType | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://x.x.x.x:x | ○ | Trellix ネットワーク セキュリティ サーバーの API ルート。 |
| ユーザー名 | 文字列 | なし | ○ | Trellix ネットワーク セキュリティ アカウントのユーザー名。 |
| パスワード | パスワード | ○ | Trellix ネットワーク セキュリティ アカウントのパスワード。 | |
| 遡る取得の最大時間数 | 整数 | 1 | いいえ | どの時点からアラートを取得するかの時間数。 |
| SSL を確認 | チェックボックス | オン | ○ | 有効になっている場合は、Trellix ネットワーク セキュリティ サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | はい | 有効にすると、動的リストがブロックリストとして使用されます。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。