FireEye NX
集成版本:8.0
使用场景
- 提取 Trellix Network Security 提醒,以便使用这些提醒创建 Google Security Operations 提醒。接下来,在 Google SecOps 中,可以使用提醒通过 playbook 或手动分析来执行编排。
- 执行丰富操作 - 使用 Google SecOps 中的 Trellix Network Security 代理下载提醒制品。
在 Google SecOps 中配置 FireEye NX 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | https://x.x.x.x:<端口> | 是 | Trellix Network Security 服务器的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Trellix Network Security 账号的用户名。 |
| 密码 | 密码 | 不适用 | 是 | Trellix Network Security 账号的密码。 |
| 验证 SSL | 复选框 | 勾选 | 否 | 如果启用,则验证与 Trellix Network Security 服务器的连接的 SSL 证书是否有效。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中集成配置页面上提供的参数,测试与 Trellix Network Security 的连接。
参数
不适用
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: 输出“Successfully connected to the Trellix Network Security server with the provided connection parameters!” 操作应失败并停止 playbook 执行: 如果不成功: 打印“Failed to connect to the Trellix Network Security server! 错误为 {0}".format(exception.stacktrace) |
常规 |
下载提醒制品
说明
下载提醒工件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 提醒 UUID | 字符串 | 不适用 | 是 | 指定需要从中下载制品的提醒 UUID。 |
| 下载路径 | 字符串 | 不适用 | 是 | 指定操作应将文件保存到何处。 |
运行于
该操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果状态代码为 200(is_success = true): 打印“Successfully downloaded Trellix Network Security alert artifacts with alert id {0}!".format(alert uuid)
打印“无法下载 Trellix Network Security 提醒工件,提醒 ID 为 {0}。原因:具有该路径的文件已存在。 如果状态代码为 404 (is_success = false): 打印“未找到 UUID 为 {0} 的提醒对应的制品。".format(alert_uuid) 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器、其他错误: 打印“执行操作‘下载提醒制品’时出错”。原因:{0}''.format(error.Stacktrace) |
常规 |
添加 IPS 政策例外情况
说明
在 Trellix Network Security 中添加 IPS 政策例外。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 受害者的 IP 子网 | 字符串 | x.x.x.x/24 | 是 | 指定受害者的 IP 子网,该子网应用于创建新的政策例外情况。格式:x.x.x.x/xx。示例:10.0.0.1/24 |
| 接口 | DDL | 全部 可能的值 A B C D 全部 |
是 | 指定在政策例外情况中应使用哪个接口。 |
| 模式 | DLL | 屏蔽 可能的值 屏蔽 取消屏蔽 Suppress Suppress-unblock |
是 | 指定政策例外情况中应使用的模式。 |
| 名称 | 字符串 | 不适用 | 否 | 指定政策例外情况的名称。如果未指定任何内容,则操作会添加具有以下名称的政策例外:PRODUCT_NAME_INTERFACE_MODE。 |
运行于
该操作在 IP 实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果一个或多个实体无法正常运行(状态代码 400)(is_success=true):“无法根据以下实体添加 IPS 政策例外情况:\n{0}”。 如果没有任何实体起作用:“No IPS policy exception were created”。 |
常规 |
连接器
FireEye NX - 提醒连接器
说明
连接器将 Trellix Network Security 提醒注入 Google SecOps。
在 Google SecOps 中配置 FireEye NX - 提醒连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | eventType | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://x.x.x.x:x | 是 | Trellix Network Security 服务器的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Trellix Network Security 账号的用户名。 |
| 密码 | 密码 | 是 | Trellix Network Security 账号的密码。 | |
| 提取回溯的小时数上限 | 整数 | 1 | 否 | 提取提醒的小时数。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Trellix Network Security 服务器的连接的 SSL 证书是否有效。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,动态列表将用作屏蔽列表。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。