FireEye NX
Versão da integração: 8.0
Casos de uso
- Ingerir alertas de segurança de rede da Trellix para criar alertas do Google Security Operations. Em seguida, no Google SecOps, os alertas podem ser usados para realizar orquestrações com playbooks ou análises manuais.
- Realize ações de enriquecimento: faça o download de artefatos de alerta usando o agente de segurança de rede da Trellix no Google SecOps.
Configurar a integração do FireEye NX no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://x.x.x.x:<port> | Sim | Raiz da API do servidor de segurança de rede da Trellix. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Trellix Network Security. |
| Senha | Senha | N/A | Sim | Senha da conta de segurança de rede da Trellix. |
| Verificar SSL | Caixa de seleção | Selecionado | Não | Se ativada, verifica se o certificado SSL da conexão com o servidor Trellix Network Security é válido. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Ping
Descrição
Teste a conectividade com a segurança de rede da Trellix usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace do Google Security Operations".
Parâmetros
N/A
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for concluída: Imprima "A conexão com o servidor de segurança de rede da Trellix foi estabelecida com sucesso usando os parâmetros fornecidos!" A ação precisa falhar e interromper a execução de um playbook: Se não for concluída: Imprima "Não foi possível se conectar ao servidor de segurança de rede da Trellix! O erro é {0}".format(exception.stacktrace) |
Geral |
Baixar artefatos de alerta
Descrição
Baixe os artefatos de alerta.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| UUID do alerta | String | N/A | Sim | Especifique o UUID do alerta de onde precisamos baixar os artefatos. |
| Caminho de download | String | N/A | Sim | Especifique onde a ação deve salvar os arquivos. |
Executar em
A ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: if status code 200 (is_success = true): Imprima "Successfully downloaded Trellix Network Security alert artifacts with alert id {0}!".format(alert uuid)
Imprima "Não foi possível fazer o download dos artefatos de alerta de segurança de rede da Trellix com o ID de alerta {0}. Motivo: já existe um arquivo com esse caminho." if status code 404 (is_success = false) : Imprima "Não foi possível encontrar os artefatos para o alerta com UUID {0}. ".format(alert_uuid) A ação precisa falhar e interromper a execução de um playbook: se erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: Imprima "Erro ao executar a ação "Fazer o download de artefatos de alerta". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicionar exceção de política de IPS
Descrição
Adicione uma exceção de política de IPS no Trellix Network Security.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Sub-rede IP da vítima | String | x.x.x.x/24 | Sim | Especifique a sub-rede IP da vítima que será usada para criar uma exceção de política. Formato: x.x.x.x/xx. Exemplo: 10.0.0.1/24 |
| Interface | DDL | TODOS Valores possíveis A B C D TODOS |
Sim | Especifique qual interface deve ser usada nas exceções de política. |
| Modo | DLL | Bloquear Valores possíveis Bloquear Desbloquear Suprimir Suppress-unblock |
Sim | Especifique o modo que deve ser usado na exceção de política. |
| Nome | String | N/A | Não | Especifique o nome da exceção de política. Se nada for especificado, a ação vai adicionar exceções de política com o seguinte nome: PRODUCT_NAME_INTERFACE_MODE. |
Executar em
A ação é executada na entidade de IP.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se uma ou mais entidades não funcionarem (código de status 400) (is success=true): "Não foi possível adicionar exceções de política de IPS com base nas seguintes entidades:\n{0}". Se nenhuma das entidades funcionar: "Nenhuma exceção de política de IPS foi criada". |
Geral |
Conectores
FireEye NX: conector de alertas
Descrição
O conector ingere alertas de segurança de rede da Trellix no Google SecOps.
Configurar o conector de alertas do FireEye NX no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | eventType | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://x.x.x.x:x | Sim | Raiz da API do servidor de segurança de rede da Trellix. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Trellix Network Security. |
| Senha | Senha | Sim | Senha da conta de segurança de rede da Trellix. | |
| Voltar o tempo máximo | Número inteiro | 1 | Não | Número de horas de onde buscar alertas. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor Trellix Network Security é válido. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista dinâmica será usada como uma lista de bloqueio. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras de conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.