本頁面由 Cloud Translation API 翻譯而成。

FireEye NX

整合版本：8.0

應用實例

擷取 Trellix Network Security 警示，用於建立 Google Security Operations 警示。接著，您可以在 Google SecOps 中使用快訊，透過應對手冊或手動分析執行協調作業。
執行擴充動作 - 使用 Google SecOps 的 Trellix Network Security 代理程式下載快訊構件。

在 Google SecOps 中設定 FireEye NX 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合：

參數顯示名稱	類型	預設值	為必填項目	說明
執行個體名稱	字串	不適用	否	您要設定整合的執行個體名稱。
說明	字串	不適用	否	執行個體的說明。
API 根層級	字串	https://x.x.x.x:<port>	是	Trellix Network Security 伺服器的 API 根目錄。
使用者名稱	字串	不適用	是	Trellix Network Security 帳戶的使用者名稱。
密碼	密碼	不適用	是	Trellix Network Security 帳戶的密碼。
驗證 SSL	核取方塊	已勾選	否	啟用後，系統會驗證連至 Trellix Network Security 伺服器的連線 SSL 憑證是否有效。
遠端執行	核取方塊	已取消勾選	否	勾選這個欄位，即可遠端執行設定的整合項目。勾選後，系統會顯示選取遠端使用者 (服務專員) 的選項。

動作

乒乓

說明

使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數，測試與 Trellix Network Security 的連線。

參數

不適用

執行時間

動作不會在實體上執行，也沒有強制輸入參數。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功： Print "Successfully connected to the Trellix Network Security server with the provided connection parameters!" 動作應會失敗並停止執行應對手冊：如果未成功： Print "Failed to connect to the Trellix Network Security server! Error is {0}".format(exception.stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：

Print "Successfully connected to the Trellix Network Security server with the provided connection parameters!"

動作應會失敗並停止執行應對手冊：

如果未成功：

Print "Failed to connect to the Trellix Network Security server! Error is {0}".format(exception.stacktrace)

一般

下載快訊構件

說明

下載快訊構件。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
快訊 UUID	字串	不適用	是	指定要從哪個快訊 UUID 下載構件。
下載路徑	字串	不適用	是	指定動作應將檔案儲存到何處。

執行時間

系統不會對實體執行這項操作。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果狀態碼為 200 (is_success = true)： Print "Successfully downloaded Trellix Network Security alert artifacts with alert id {0}!".format(alert uuid) if status code 200 (is_success = true): Print "Action wasn't able to download Trellix Network Security alert artifacts with alert id {0}. 原因：已有路徑相同的檔案。如果狀態碼為 404 (is_success = false)： Print "Artifacts for alert with uuid {0} were not found. ".format(alert_uuid) 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤： Print "Error executing action "Download Alert Artifacts". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果狀態碼為 200 (is_success = true)：

Print "Successfully downloaded Trellix Network Security alert artifacts with alert id {0}!".format(alert uuid)

if status code 200 (is_success = true):

Print "Action wasn't able to download Trellix Network Security alert artifacts with alert id {0}. 原因：已有路徑相同的檔案。

如果狀態碼為 404 (is_success = false)：

Print "Artifacts for alert with uuid {0} were not found. ".format(alert_uuid)

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：

Print "Error executing action "Download Alert Artifacts". 原因：{0}''.format(error.Stacktrace)

一般

新增 IPS 政策例外狀況

說明

在 Trellix Network Security 中新增 IPS 政策例外狀況。

參數

參數顯示名稱	類型	預設值	是否為必要項目	說明
受害者 IP 子網路	字串	x.x.x.x/24	是	指定要用於建立新政策例外狀況的受害者 IP 子網路。格式：x.x.x.x/xx。例如：10.0.0.1/24
介面	DDL	全部可能的值 A B C D 全部	是	指定要在政策例外狀況中使用哪個介面。
模式	DLL	封鎖可能的值封鎖解除封鎖抑制 Suppress-unblock	是	指定要在政策例外狀況中使用的模式。
名稱	字串	不適用	否	指定政策例外狀況的名稱。如果未指定任何項目，這項動作會新增政策例外狀況，並使用以下名稱：`PRODUCT_NAME_INTERFACE_MODE`。

執行時間

這項動作會對 IP 實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	價值選項	示例
is_success	True/False	is_success:False

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不得失敗或停止劇本執行：如果至少有一個實體的狀態碼為 200 (is success=true)：「Successfully added IPS policy exceptions in Trellix Network Security based on the following entities: {0}!」(已根據下列實體，在 Trellix Network Security 中成功新增 IPS 政策例外狀況！) 如果一或多個實體無法運作 (狀態碼 400) (is success=true)：「Action wasn't able to add IPS policy exceptions based on the following entities:\n{0}」。如果沒有任何實體正常運作：「No IPS policy exception were created」。如果發生嚴重錯誤 (例如憑證錯誤、無法連線至伺服器等)，動作應會失敗並停止執行劇本：「Error executing action "Add IPS Policy Exception"」。原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不得失敗或停止劇本執行：
如果至少有一個實體的狀態碼為 200 (is success=true)：「Successfully added IPS policy exceptions in Trellix Network Security based on the following entities: {0}!」(已根據下列實體，在 Trellix Network Security 中成功新增 IPS 政策例外狀況！)

如果一或多個實體無法運作 (狀態碼 400) (is success=true)：「Action wasn't able to add IPS policy exceptions based on the following entities:\n{0}」。

如果沒有任何實體正常運作：「No IPS policy exception were created」。

如果發生嚴重錯誤 (例如憑證錯誤、無法連線至伺服器等)，動作應會失敗並停止執行劇本：
「Error executing action "Add IPS Policy Exception"」。原因：{0}''.format(error.Stacktrace)

一般

連接器

FireEye NX - Alerts Connector

說明

連接器會將 Trellix Network Security 警示擷取至 Google SecOps。

在 Google SecOps 中設定 FireEye NX - Alerts 連接器

如需在 Google SecOps 中設定連接器的詳細操作說明，請參閱設定連接器。

連接器參數

請使用下列參數設定連接器：

參數顯示名稱	類型	預設值	為必填項目	說明
產品欄位名稱	字串	產品名稱	是	輸入來源欄位名稱，即可擷取產品欄位名稱。
事件欄位名稱	字串	eventType	是	輸入來源欄位名稱，即可擷取事件欄位名稱。
環境欄位名稱	字串	""	否	說明儲存環境名稱的欄位名稱。如果找不到環境欄位，環境就是預設環境。
環境規則運算式模式	字串	.*	否	要對「環境欄位名稱」欄位中的值執行的 regex 模式。預設值為 .*，可擷取所有內容並傳回未變更的值。用於允許使用者透過規則運算式邏輯操控環境欄位。如果 regex 模式為空值或空白，或環境值為空值，最終環境結果就是預設環境。
指令碼逾時 (秒)	整數	180	是	執行目前指令碼的 Python 程序逾時限制。
API 根層級	字串	https://x.x.x.x:x	是	Trellix Network Security 伺服器的 API 根目錄。
使用者名稱	字串	不適用	是	Trellix Network Security 帳戶的使用者名稱。
密碼	密碼		是	Trellix Network Security 帳戶的密碼。
Fetch Max Hours Backwards	整數	1	否	要擷取快訊的小時數。
驗證 SSL	核取方塊	已勾選	是	啟用後，請確認連線至 Trellix Network Security 伺服器的 SSL 憑證是否有效。
將許可清單當做封鎖清單使用	核取方塊	已取消勾選	是	啟用後，系統會將動態清單做為封鎖清單。
Proxy 伺服器位址	字串	不適用	否	要使用的 Proxy 伺服器位址。
Proxy 使用者名稱	字串	不適用	否	用於驗證的 Proxy 使用者名稱。
Proxy 密碼	密碼	不適用	否	用於驗證的 Proxy 密碼。

連接器規則

Proxy 支援

連接器支援 Proxy。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。