FireEye NX
Versão da integração: 8.0
Exemplos de utilização
- Ingira alertas de segurança de rede da Trellix para os usar na criação de alertas do Google Security Operations. Em seguida, no Google SecOps, os alertas podem ser usados para realizar orquestrações com manuais de procedimentos ou análises manuais.
- Realize ações de enriquecimento: transfira artefactos de alertas através do agente de segurança de rede da Trellix a partir do Google SecOps.
Configure a integração do FireEye NX no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://x.x.x.x:<port> | Sim | Raiz da API do servidor de segurança de rede da Trellix. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Trellix Network Security. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do Trellix Network Security. |
| Validar SSL | Caixa de verificação | Marcado | Não | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor de segurança de rede da Trellix é válido. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Tchim-tchim
Descrição
Teste a conetividade à segurança de rede da Trellix com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: Imprima "Successfully connected to the Trellix Network Security server with the provided connection parameters!" (Ligação estabelecida com êxito ao servidor de segurança de rede da Trellix com os parâmetros de ligação fornecidos!) A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: Imprima "Failed to connect to the Trellix Network Security server! O erro é {0}".format(exception.stacktrace) |
Geral |
Transfira artefactos de alertas
Descrição
Transfira artefactos de alertas.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| UUID do alerta | String | N/A | Sim | Especifique o UUID do alerta a partir do qual temos de transferir os artefactos. |
| Caminho de transferência | String | N/A | Sim | Especifique onde a ação deve guardar os ficheiros. |
Executar em
A ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: if status code 200 (is_success = true): Imprima "Successfully downloaded Trellix Network Security alert artifacts with alert id {0}!".format(alert uuid)
Imprima "Não foi possível transferir os artefactos de alerta de segurança de rede do Trellix com o ID de alerta {0}. Motivo: já existe um ficheiro com esse caminho." if status code 404 (is_success = false) : Imprimir "Não foram encontrados artefactos para o alerta com o UUID {0}. ".format(alert_uuid) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: Imprimir "Erro ao executar a ação "Transferir artefactos de alerta". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicione uma exceção à política de IPS
Descrição
Adicione uma exceção à política de IPS na segurança de rede da Trellix.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Sub-rede IP da vítima | String | x.x.x.x/24 | Sim | Especifique a sub-rede IP da vítima que deve ser usada para criar uma nova exceção à política. Formato: x.x.x.x/xx. Exemplo: 10.0.0.1/24 |
| Interface | LDD | TUDO Valores possíveis A B C D TUDO |
Sim | Especifique que interface deve ser usada nas exceções de políticas. |
| Modo | DLL | Bloquear Valores possíveis Bloquear Desbloquear Suprimir Suppress-unblock |
Sim | Especifique o modo que deve ser usado na exceção à política. |
| Nome | String | N/A | Não | Especifique o nome da exceção à política. Se não for especificado nada, a ação adiciona exceções de políticas com o seguinte nome:
PRODUCT_NAME_INTERFACE_MODE
. |
Executar em
A ação é executada na entidade de IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: Se uma ou mais entidades não funcionaram (código de estado 400) (is success=true): "Não foi possível adicionar exceções à política de IPs com base nas seguintes entidades:\n{0}". Se nenhuma das entidades funcionou: "No IPS policy exception were created" (Não foram criadas exceções à política de IPS). |
Geral |
Conetores
FireEye NX - Conetor de alertas
Descrição
O conetor carrega o alerta de segurança de rede da Trellix para o Google SecOps.
Configure o conetor de alertas do FireEye NX no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | eventType | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://x.x.x.x:x | Sim | Raiz da API do servidor de segurança de rede da Trellix. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Trellix Network Security. |
| Palavra-passe | Palavra-passe | Sim | Palavra-passe da conta do Trellix Network Security. | |
| Fetch Max Hours Backwards | Número inteiro | 1 | Não | Número de horas a partir das quais recolher alertas. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, valide se o certificado SSL para a ligação ao servidor de segurança de rede da Trellix é válido. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista dinâmica é usada como uma lista de bloqueios. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.