FireEye CM
Version de l'intégration : 9.0
Cas d'utilisation
- Ingérez les alertes Trellix Central Management pour les utiliser afin de créer des alertes Google Security Operations. Ensuite, dans Google SecOps, les alertes peuvent être utilisées pour effectuer des orchestrations avec des playbooks ou des analyses manuelles.
- Effectuer des actions actives : télécharger des artefacts d'alerte à l'aide de l'agent Trellix Central Management depuis Google SecOps, créer une règle, des flux d'IOC
Configurer l'intégration de FireEye CM dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Racine de l'API | Chaîne | https:// : |
Oui | Racine de l'API du serveur Trellix Central Management. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Trellix Central Management. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Trellix Central Management. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Trellix Central Management est valide. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ping
Description
Testez la connectivité à Trellix Central Management avec les paramètres fournis sur la page de configuration de l'intégration, dans l'onglet "Google Security Operations Marketplace".
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : En cas de succès : L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : Imprimez "Échec de la connexion au serveur Trellix Central Management ! Error is {0}".format(exception.stacktrace) |
Général |
Ajouter un flux d'IoC
Description
Ajoutez un flux d'IOC dans Trellix Central Management en fonction des entités. Seuls les hachages MD5 et SHA256 sont acceptés.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Action | LDD | Alerte Valeur possible Alerte Bloquer |
Oui | Indiquez l'action à effectuer pour le nouveau flux. |
| Commentaire | Chaîne | N/A | Non | Indiquez des commentaires supplémentaires pour le flux. |
| Extraire le domaine | Case à cocher | N/A | Oui | Si cette option est activée, l'action extrait la partie domaine de l'URL et l'utilise pour créer un flux d'IOC. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- URL
- HACHAGE (MD5/SHA256)
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if status code 200 for at least one entity type(is_success = true): if some of the entity types were not used properly (is_success =true) : Si aucune des entités n'a été utilisée pour créer le flux : (is_success=false) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : Imprime "Erreur lors de l'exécution de l'action "Ajouter un flux d'IOC". Raison : {0}''.format(error.Stacktrace) |
Général |
Supprimer un flux d'IOC
Description
Supprimez le flux d'IOC dans Trellix Central Management.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du flux | Chaîne | N/A | Oui | Spécifiez le nom du flux à supprimer. |
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if status code 200 and feedName was found in the list for last request (is_success = false): "Action wasn't able to delete feed '{0}' in Trellix Central Management. Si le nom du flux n'existe pas au départ : "L'action n'a pas pu supprimer le flux d'IOC dans Trellix Central Management". Motif : Le flux "{feed_name}" est introuvable. L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
Lister les e-mails mis en quarantaine
Description
Lister les e-mails mis en quarantaine. Nécessite que FireEye EX soit connecté à Trellix Central Management.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Heure de début | Chaîne | N/A | Non | Si elle est spécifiée, seuls les e-mails créés après l'heure de début seront renvoyés. Si les heures de début et de fin ne sont pas spécifiées, l'action renvoie les e-mails mis en quarantaine au cours des dernières 24 heures. Format : AAAA-MM-JJ'T'HH:MM:SS.SSS-HHMM |
| Heure de fin | Chaîne | N/A | Non | Si cette option est spécifiée, seuls les e-mails créés avant l'heure de fin seront renvoyés. Si les heures de début et de fin ne sont pas spécifiées, l'action renvoie les e-mails mis en quarantaine au cours des dernières 24 heures. Format : AAAA-MM-JJ'T'HH:MM:SS.SSS-HHMM |
| Filtre d'expéditeur | Chaîne | N/A | Non | Si ce paramètre est spécifié, tous les e-mails mis en quarantaine de cet expéditeur uniquement sont renvoyés. |
| Filtre par sujet | Chaîne | N/A | Non | Si ce paramètre est spécifié, il renvoie tous les e-mails mis en quarantaine ayant cet objet. |
| Nombre maximal d'e-mails à renvoyer | Chaîne | 50 | Non | Indiquez le nombre d'e-mails à renvoyer. La limite est de 10 000. Il s'agit d'une limitation de Trellix Central Management. |
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "x-x-x-x-x",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si aucune donnée n'est disponible (is_success = true) : "Aucun e-mail mis en quarantaine n'a été trouvé dans Trellix Central Management !" L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
| Table du mur des cas | Nom : "E-mails mis en quarantaine" Colonnes :
|
Libérer un e-mail mis en quarantaine
Description
Libère l'e-mail mis en quarantaine. Nécessite que FireEye EX soit connecté à Trellix Central Management.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de la file d'attente | Chaîne | N/A | Oui | Spécifiez l'ID de la file d'attente de l'e-mail à libérer. |
| Nom du capteur | Chaîne | N/A | Non | Spécifiez le nom du capteur pour lequel vous souhaitez libérer un e-mail mis en quarantaine. Si rien n'est spécifié ici, l'action tentera de trouver le capteur automatiquement. |
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if status code 200 and response is not empty (is_success = false): "Email with queue id {0} was not released. Motif : {1}". L'action doit échouer et arrêter l'exécution d'un playbook : Si le capteur n'est pas trouvé automatiquement : "Erreur lors de l'exécution de l'action "Libérer l'e-mail mis en quarantaine". Motif : Le capteur pour l'appliance FireEye EX est introuvable. Veuillez l'indiquer manuellement dans le paramètre "Nom du capteur".''.format(error.Stacktrace) Si un capteur non valide est fourni : "Erreur lors de l'exécution de l'action "Libérer l'e-mail mis en quarantaine". Cause : le capteur portant le nom {0} pour l'appliance FireEye EX est introuvable. Veuillez vérifier l'orthographe.".format(error.Stacktrace) |
Général |
Télécharger un e-mail mis en quarantaine
Description
Télécharger un e-mail mis en quarantaine Nécessite que FireEye EX soit connecté à Trellix Central Management.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de la file d'attente | Chaîne | N/A | Oui | Spécifiez l'ID de file d'attente de l'e-mail à télécharger. |
| Chemin d'accès au dossier de téléchargement | Chaîne | N/A | Oui | Spécifiez le chemin d'accès absolu au dossier dans lequel l'action doit enregistrer les fichiers. |
| Remplacer | Case à cocher | Oui | Oui | Si cette option est activée, l'action écrasera le fichier existant portant le même chemin d'accès. |
| Nom du capteur | Chaîne | N/A | Non | Spécifiez le nom du capteur à partir duquel vous souhaitez télécharger un e-mail mis en quarantaine. Si rien n'est spécifié ici, l'action tentera de trouver le capteur automatiquement. |
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
file_path = {absolute file path to the file}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if status code 200 and xml in the response (is_success = false): "Email with queue id {0} was not downloaded. Motif : {1}". L'action doit échouer et arrêter l'exécution d'un playbook : Si le capteur n'est pas détecté automatiquement : "Erreur lors de l'exécution de l'action "Télécharger l'e-mail mis en quarantaine". Motif : Le capteur pour l'appliance FireEye EX est introuvable. Veuillez l'indiquer manuellement dans le paramètre "Nom du capteur".''.format(error.Stacktrace) Si un capteur non valide est fourni : "Erreur lors de l'exécution de l'action "Télécharger l'e-mail mis en quarantaine". Cause : le capteur portant le nom {0} pour l'appliance FireEye EX est introuvable. Veuillez vérifier l'orthographe.".format(error.Stacktrace) |
Général |
Supprimer un e-mail mis en quarantaine
Description
Supprimez l'e-mail mis en quarantaine. Nécessite que FireEye EX soit connecté à Trellix Central Management.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de la file d'attente | Chaîne | N/A | Oui | Spécifiez l'ID de file d'attente de l'e-mail à supprimer. |
| Nom du capteur | Chaîne | N/A | Non | Spécifiez le nom du capteur pour lequel vous souhaitez supprimer un e-mail mis en quarantaine. Si rien n'est spécifié ici, l'action tentera de trouver le capteur automatiquement. |
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if status code 200 and response is not empty: "Email with queue id {0} was not deleted. Motif : {1}". Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : "Erreur lors de l'exécution de l'action "Supprimer l'e-mail mis en quarantaine". Raison : {0}''.format(error.Stacktrace) Si le capteur n'est pas trouvé automatiquement : "Erreur lors de l'exécution de l'action "Supprimer l'e-mail mis en quarantaine". Motif : Le capteur pour l'appliance FireEye EX est introuvable. Veuillez l'indiquer manuellement dans le paramètre "Nom du capteur".''.format(error.Stacktrace) Si un capteur non valide est fourni : "Erreur lors de l'exécution de l'action "Supprimer l'e-mail mis en quarantaine". Cause : le capteur portant le nom {0} pour l'appliance FireEye EX est introuvable. Veuillez vérifier l'orthographe.".format(error.Stacktrace) |
Général |
Télécharger les artefacts d'alerte
Description
Téléchargez les artefacts d'alerte depuis Trellix Central Management.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| UUID de l'alerte | Chaîne | N/A | Oui | Spécifiez l'UUID de l'alerte à partir de laquelle nous devons télécharger les artefacts. |
| Chemin d'accès au dossier de téléchargement | Chaîne | N/A | Oui | Spécifiez le chemin d'accès absolu au dossier dans lequel l'action doit enregistrer les fichiers. |
| Remplacer | Case à cocher | Cochée | Oui | Si cette option est activée, l'action écrasera le fichier existant portant le même chemin d'accès. |
Exécuter sur
L'action ne s'exécute pas sur les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
file_path = {absolute file path to the file}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si un fichier portant ce chemin d'accès existe déjà (is_success = false) : "L'action n'a pas pu télécharger les artefacts d'alerte Trellix Central Management avec l'ID d'alerte {0}. Motif : Un fichier portant ce chemin d'accès existe déjà." if status code 404 (is_success = false): "Artifacts for alert with uuid {0} were not found. ". L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
Lister les flux d'IoC
Description
Liste les flux d'IOC disponibles dans Trellix Central Management.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nombre maximal de flux d'IOC à renvoyer | Chaîne | 50 | Non | Spécifiez le nombre de flux d'IOC à renvoyer. La valeur par défaut est 50. |
Exécuter sur
L'action ne s'exécute pas sur les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
{
"customFeedInfo": [
{
"feedName": "ad",
"status": "Feed processed",
"feedType": "url",
"uploadDate": "2020/10/13 10:32:28",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 3
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "adasdasdas",
"status": "Feed processed",
"feedType": "domain",
"uploadDate": "2020/10/13 10:34:29",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 3
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "qweqwe",
"status": "Feed processed",
"feedType": "ip",
"uploadDate": "2020/10/13 10:16:31",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 3
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
}
]
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si aucune entrée n'a été trouvée : "Aucun flux d'IOC n'a été trouvé dans Trellix Central Management" L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
| Table du mur des cas | Nom de la table : flux d'IOC disponibles Colonnes du tableau : Nom Status Type Action Commentaire Nombre d'adresses IP Nombre d'URL Nombre de domaines Nombre de hachages Importé le |
Général |
Ajouter une règle à un fichier de règles personnalisées
Description
Ajoutez une règle au fichier de règles personnalisées dans Trellix Central Management.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Règle | Chaîne | N/A | Oui | Spécifiez la règle à ajouter au fichier de règles personnalisées. |
| Nom du capteur | Chaîne | N/A | Non | Spécifiez le nom du capteur auquel vous souhaitez ajouter une règle. Si rien n'est spécifié ici, l'action tentera de trouver le capteur automatiquement. |
Exécuter sur
L'action ne s'exécute pas sur les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : L'action doit échouer et arrêter l'exécution d'un playbook : Si le capteur n'est pas détecté automatiquement : "Erreur lors de l'exécution de l'action "Ajouter une règle au fichier de règles personnalisées". Motif : Le capteur pour l'appliance FireEye NX n'a pas été trouvé. Veuillez l'indiquer manuellement dans le paramètre "Nom du capteur".''.format(error.Stacktrace) Si un capteur non valide est fourni : "Erreur lors de l'exécution de l'action "Ajouter une règle au fichier de règles personnalisées". Raison : Le capteur portant le nom {0} pour l'appliance FireEye NX est introuvable. Veuillez vérifier l'orthographe.".format(error.Stacktrace) |
Général |
Confirmer l'alerte
Description
Confirmez l'alerte dans Trellix Central Management.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| UUID de l'alerte | Chaîne | N/A | Oui | Spécifiez l'UUID de l'alerte à confirmer. |
| Annotation | Chaîne | N/A | Oui | Spécifiez l'annotation qui explique le motif de l'accusé de réception. |
Exécuter sur
L'action ne s'exécute pas sur les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if status code 404 (is_success = false): "Action wasn't able to acknowledge Trellix Central Management alert with ID {0}. Raison : L'alerte associée à l'ID {0} est introuvable. ". Si le code d'état est 400 (is_success = false) : "L'action n'a pas pu confirmer l'alerte Trellix Central Management avec l'ID {0}. Motif : {1} ". L'action doit échouer et arrêter l'exécution d'un playbook : |
Général |
Télécharger le fichier de règles personnalisées
Description
Téléchargez le fichier de règles personnalisées depuis Trellix Central Management.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du capteur | Chaîne | N/A | Non | Spécifiez le nom du capteur auquel vous souhaitez ajouter une règle. Si rien n'est spécifié ici, l'action tentera de trouver le capteur automatiquement. |
| Chemin d'accès au dossier de téléchargement | Chaîne | N/A | Oui | Spécifiez le chemin d'accès absolu au dossier dans lequel le fichier doit être téléchargé. |
| Remplacer | Case à cocher | Cochée | Oui | Si cette option est activée, l'action écrasera le fichier existant portant le même chemin d'accès. |
Exécuter sur
L'action ne s'exécute pas sur les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Résultat JSON
File Path = "absolute path to the file"
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état est 500 ou 400 (is_success = false) : "L'action n'a pas pu télécharger le fichier de règles personnalisées depuis l'appliance '{0}' dans Trellix Central Management. Motif : {1}". Si le capteur n'est pas détecté automatiquement : "Erreur lors de l'exécution de l'action "Télécharger le fichier de règles personnalisées". Motif : Le capteur pour l'appliance FireEye NX n'a pas été trouvé. Veuillez l'indiquer manuellement dans le paramètre "Nom du capteur".''.format(error.Stacktrace) Si un capteur non valide est fourni : "Erreur lors de l'exécution de l'action "Télécharger le fichier de règles personnalisées". Raison : Le capteur portant le nom {0} pour l'appliance FireEye NX est introuvable. Veuillez vérifier l'orthographe.".format(error.Stacktrace) |
Général |
Connecteurs
Connecteur FireEye CM - Alerts
Description
Le connecteur ingère les alertes Trellix Central Management dans Google SecOps. Cela inclut les alertes générées par les appliances FireEye NX et EX.
Configurer le connecteur d'alertes FireEye CM dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | capteur | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | eventType | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
Nom du champ d'environnement |
Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
Modèle d'expression régulière de l'environnement |
Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://x.x.x.x:x | Oui | Racine de l'API du serveur Trellix Central Management. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Trellix Central Management. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Trellix Central Management. |
| Récupérer les heures Max en arrière | Integer | 1 | Non | Nombre d'heures à partir duquel récupérer les alertes. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Trellix Central Management est valide. |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste blanche sera utilisée comme liste noire. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.