FireEye CM
통합 버전: 9.0
사용 사례
- Trellix Central Management 알림을 수집하여 Google Security Operations 알림을 만드는 데 사용합니다. 그런 다음 Google SecOps에서 알림을 사용하여 플레이북이나 수동 분석으로 오케스트레이션을 수행할 수 있습니다.
- Google SecOps에서 Trellix Central Management 에이전트를 사용하여 알림 아티팩트를 다운로드하고 규칙, IOC 피드를 만드는 등 적극적인 조치를 취합니다.
Google SecOps에서 FireEye CM 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API 루트 | 문자열 | https://: |
예 | Trellix Central Management 서버의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Trellix Central Management 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Trellix Central Management 계정의 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Trellix Central Management 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Trellix Central Management에 대한 연결을 테스트합니다.
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: 작업이 실패하고 플레이북 실행을 중지합니다. 실패한 경우: 'Trellix Central Management 서버에 연결할 수 없습니다.'가 출력됩니다. 오류: {0}".format(exception.stacktrace) |
일반 |
IOC 피드 추가
설명
엔티티를 기반으로 Trellix Central Management에 IOC 피드를 추가합니다. MD5 및 SHA256 해시만 지원됩니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 작업 | DDL | 알림 가능한 값 알림 차단 |
예 | 새 피드의 작업을 지정합니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 아니요 | 피드에 대한 추가 의견을 지정합니다. |
| 도메인 추출 | 체크박스 | 해당 사항 없음 | 예 | 사용 설정하면 작업에서 URL에서 도메인 부분을 추출하여 IOC 피드를 만듭니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- URL
- 해시 (MD5/SHA256)
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상의 엔티티 유형의 상태 코드가 200인 경우(is_success = true): 일부 항목 유형이 올바르게 사용되지 않은 경우 (is_success =true): 항목이 피드 생성에 사용되지 않은 경우(is_success=false) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'IOC 피드 추가' 작업을 실행하는 동안 오류가 발생했습니다.'가 출력됩니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
IOC 피드 삭제
설명
Trellix Central Management에서 IOC 피드를 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 피드 이름 | 문자열 | 해당 사항 없음 | 예 | 삭제해야 하는 피드의 이름을 지정합니다. |
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 상태 코드가 200이고 마지막 요청 목록에서 feedName이 발견된 경우 (is_success = false): '작업이 Trellix Central Management에서 피드 '{0}'을 삭제할 수 없습니다. 처음에 피드 이름이 존재하지 않는 경우 'Trellix Central Management에서 IOC 피드를 삭제할 수 없습니다.' 이유: 피드("{feed_name}")를 찾을 수 없습니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
격리된 이메일 목록
설명
스팸으로 분류된 이메일을 나열합니다. Trellix Central Management에 연결된 FireEye EX가 필요합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 시작 시간 | 문자열 | 해당 사항 없음 | 아니요 | 지정된 경우 시작 시간 이후에 생성된 이메일만 반환됩니다. 시작 시간과 종료 시간이 지정되지 않으면 작업은 지난 24시간 동안 격리된 이메일을 반환합니다. 형식: YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| 종료 시간 | 문자열 | 해당 사항 없음 | 아니요 | 지정된 경우 종료 시간 전에 생성된 이메일만 반환됩니다. 시작 시간과 종료 시간이 지정되지 않으면 작업은 지난 24시간 동안 격리된 이메일을 반환합니다. 형식: YYYY-MM-DD'T'HH:MM:SS.SSS-HHMM |
| 발신자 필터 | 문자열 | 해당 사항 없음 | 아니요 | 지정된 경우 이 발신자로부터 격리된 이메일만 모두 반환합니다. |
| 주제 필터 | 문자열 | 해당 사항 없음 | 아니요 | 지정된 경우 이 제목의 격리된 이메일만 모두 반환합니다. |
| 반환할 최대 이메일 수 | 문자열 | 50 | 아니요 | 반환할 이메일 수를 지정합니다. 한도는 10,000입니다. 이는 Trellix Central Management 제한사항입니다. |
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
[
{
"completed_at": "2020-06-09T08:21:17",
"email_uuid": "x-x-x-x-x",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h33n3HZczxNgc",
"subject": "qwe",
"message_id": "ec7d161d-c0f5-7e32-8f53-468393ccc9b6@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h33n3HZczxNgc"
},
{
"completed_at": "2020-06-09T08:21:42",
"email_uuid": "58800022-51f7-4b07-b6b1-c5d88434283f",
"quarantine_path": "/data/email-analysis/quarantine2/2020-06-09/08/49h34G5TVczxNgg",
"subject": "rew",
"message_id": "625607a6-a99d-004a-4ad6-69c3ec795168@fex2-lab.local",
"from": "xxxx.xxxx2@xxxx-xxx.xxxx",
"queue_id": "49h34G5TVczxNgg"
}
]
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 데이터를 사용할 수 없는 경우 (is_success = true): 'Trellix Central Management에서 격리된 이메일을 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
| 케이스 월 테이블 | 이름: 격리된 이메일 열:
|
스팸 격리 저장소에서 이메일 해제
설명
격리된 이메일을 해제합니다. Trellix Central Management에 연결된 FireEye EX가 필요합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 큐 ID | 문자열 | 해당 사항 없음 | 예 | 해제해야 하는 이메일의 대기열 ID를 지정합니다. |
| 센서 이름 | 문자열 | 해당 사항 없음 | 아니요 | 격리된 이메일을 해제할 센서의 이름을 지정합니다. 여기에 아무것도 지정하지 않으면 작업에서 센서를 자동으로 찾으려고 시도합니다. |
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 상태 코드가 200이고 응답이 비어 있지 않은 경우 (is_success = false): '대기열 ID가 {0}인 이메일이 출시되지 않았습니다. 이유: {1}". 작업이 실패하고 플레이북 실행을 중지해야 합니다. 센서가 자동으로 검색되지 않는 경우: "Error executing action "Release Quarantined Email". 이유: FireEye EX 어플라이언스의 센서를 찾을 수 없습니다. 'Sensor Name'(센서 이름) 매개변수에 수동으로 입력하세요.''.format(error.Stacktrace) 잘못된 센서가 제공된 경우: ''격리된 이메일 해제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: FireEye EX 어플라이언스의 이름이 {0}인 센서를 찾을 수 없습니다. 철자를 확인하세요.''.format(error.Stacktrace) |
일반 |
격리된 이메일 다운로드
설명
격리된 이메일을 다운로드합니다. Trellix Central Management에 연결된 FireEye EX가 필요합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 큐 ID | 문자열 | 해당 사항 없음 | 예 | 다운로드해야 하는 이메일의 대기열 ID를 지정합니다. |
| 다운로드 폴더 경로 | 문자열 | 해당 사항 없음 | 예 | 작업에서 파일을 저장해야 하는 폴더의 절대 경로를 지정합니다. |
| 덮어쓰기 | 체크박스 | 예 | 예 | 사용 설정하면 작업에서 같은 경로의 기존 파일을 덮어씁니다. |
| 센서 이름 | 문자열 | 해당 사항 없음 | 아니요 | 격리된 이메일을 다운로드할 센서의 이름을 지정합니다. 여기에 아무것도 지정하지 않으면 작업에서 센서를 자동으로 찾으려고 시도합니다. |
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
file_path = {absolute file path to the file}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 상태 코드 200이고 응답에 XML이 있는 경우 (is_success = false): '대기열 ID가 {0}인 이메일이 다운로드되지 않았습니다. 이유: {1}". 작업이 실패하고 플레이북 실행을 중지해야 합니다. 센서를 자동으로 찾을 수 없는 경우: ''격리된 이메일 다운로드' 작업을 실행하는 동안 오류가 발생했습니다. 이유: FireEye EX 어플라이언스의 센서를 찾을 수 없습니다. 'Sensor Name'(센서 이름) 매개변수에 수동으로 입력하세요.''.format(error.Stacktrace) 잘못된 센서가 제공된 경우: ''격리된 이메일 다운로드' 작업을 실행하는 중에 오류가 발생했습니다. 이유: FireEye EX 어플라이언스의 이름이 {0}인 센서를 찾을 수 없습니다. 철자를 확인하세요.''.format(error.Stacktrace) |
일반 |
격리된 이메일 삭제
설명
격리된 이메일을 삭제합니다. Trellix Central Management에 연결된 FireEye EX가 필요합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 큐 ID | 문자열 | 해당 사항 없음 | 예 | 삭제해야 하는 이메일의 대기열 ID를 지정합니다. |
| 센서 이름 | 문자열 | 해당 사항 없음 | 아니요 | 격리된 이메일을 삭제할 센서의 이름을 지정합니다. 여기에 아무것도 지정하지 않으면 작업에서 센서를 자동으로 찾으려고 시도합니다. |
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 상태 코드가 200이고 응답이 비어 있지 않은 경우: '대기열 ID가 {0}인 이메일이 삭제되지 않았습니다. 이유: {1}". 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: ''격리된 이메일 삭제' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) 센서를 자동으로 찾을 수 없는 경우: "Error executing action "Delete Quarantined Email". 이유: FireEye EX 어플라이언스의 센서를 찾을 수 없습니다. 'Sensor Name'(센서 이름) 매개변수에 수동으로 입력하세요.''.format(error.Stacktrace) 잘못된 센서가 제공된 경우: ''격리된 이메일 삭제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: FireEye EX 어플라이언스의 이름이 {0}인 센서를 찾을 수 없습니다. 철자를 확인하세요.''.format(error.Stacktrace) |
일반 |
알림 아티팩트 다운로드
설명
Trellix Central Management에서 알림 아티팩트를 다운로드합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 UUID | 문자열 | 해당 사항 없음 | 예 | 아티팩트를 다운로드해야 하는 알림 uuid를 지정합니다. |
| 다운로드 폴더 경로 | 문자열 | 해당 사항 없음 | 예 | 작업에서 파일을 저장해야 하는 폴더의 절대 경로를 지정합니다. |
| 덮어쓰기 | 체크박스 | 선택 | 예 | 사용 설정하면 작업에서 같은 경로의 기존 파일을 덮어씁니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
file_path = {absolute file path to the file}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 해당 경로의 파일이 이미 있는 경우 (is_success = false): '작업이 알림 ID가 {0}인 Trellix Central Management 알림 아티팩트를 다운로드할 수 없습니다. 이유: 해당 경로에 파일이 이미 있습니다.' 상태 코드 404인 경우 (is_success = false): 'uuid가 {0}인 알림의 아티팩트를 찾을 수 없습니다. '. 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
IOC 피드 나열
설명
Trellix Central Management에서 사용 가능한 IOC 피드를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 최대 IOC 피드 수 | 문자열 | 50 | 아니요 | 반환할 IOC 피드 수를 지정합니다. 기본값은 50입니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"customFeedInfo": [
{
"feedName": "ad",
"status": "Feed processed",
"feedType": "url",
"uploadDate": "2020/10/13 10:32:28",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 3
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "adasdasdas",
"status": "Feed processed",
"feedType": "domain",
"uploadDate": "2020/10/13 10:34:29",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 0
},
{
"contentType": "domain",
"feedCount": 3
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
},
{
"feedName": "qweqwe",
"status": "Feed processed",
"feedType": "ip",
"uploadDate": "2020/10/13 10:16:31",
"feedAction": "alert",
"feedSource": "",
"contentMeta": [
{
"contentType": "ip",
"feedCount": 3
},
{
"contentType": "domain",
"feedCount": 0
},
{
"contentType": "url",
"feedCount": 0
},
{
"contentType": "hash",
"feedCount": 0
}
]
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목이 없는 경우: 'Trellix Central Management에서 IOC 피드를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
| 케이스 월 테이블 | 표 이름: 사용 가능한 IOC 피드 테이블 열: 이름 상태 유형 작업 댓글 IP 수 URL 수 도메인 수 해시 수 업로드 시간 |
일반 |
맞춤 규칙 파일에 규칙 추가
설명
Trellix Central Management의 맞춤 규칙 파일에 새 규칙을 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 규칙 | 문자열 | 해당 사항 없음 | 예 | 맞춤 규칙 파일에 추가해야 하는 규칙을 지정합니다. |
| 센서 이름 | 문자열 | 해당 사항 없음 | 아니요 | 새 규칙을 추가할 센서의 이름을 지정합니다. 여기에 아무것도 지정하지 않으면 작업에서 센서를 자동으로 찾으려고 시도합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. 센서를 자동으로 찾을 수 없는 경우: "Error executing action "Add Rule To Custom Rules File". 이유: FireEye NX 어플라이언스의 센서를 찾을 수 없습니다. 'Sensor Name'(센서 이름) 매개변수에 수동으로 입력하세요.''.format(error.Stacktrace) 잘못된 센서가 제공된 경우: ''맞춤 규칙 파일에 규칙 추가' 작업을 실행하는 중에 오류가 발생했습니다. 이유: FireEye NX 어플라이언스의 이름이 {0}인 센서를 찾을 수 없습니다. 철자를 확인하세요.''.format(error.Stacktrace) |
일반 |
알림 확인
설명
Trellix Central Management에서 알림을 확인합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 UUID | 문자열 | 해당 사항 없음 | 예 | 확인해야 하는 알림 uuid를 지정합니다. |
| 주석 | 문자열 | 해당 사항 없음 | 예 | 확인 이유를 설명하는 주석을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 상태 코드 404인 경우 (is_success = false): '작업이 ID가 {0}인 Trellix Central Management 알림을 승인할 수 없습니다. 이유: ID가 {0}인 알림을 찾을 수 없습니다. '. 상태 코드 400인 경우 (is_success = false): '작업이 ID가 {0}인 Trellix Central Management 알림을 승인할 수 없습니다. 이유: {1} ". 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
맞춤 규칙 파일 다운로드
설명
Trellix Central Management에서 맞춤 규칙 파일을 다운로드합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 센서 이름 | 문자열 | 해당 사항 없음 | 아니요 | 새 규칙을 추가할 센서의 이름을 지정합니다. 여기에 아무것도 지정하지 않으면 작업에서 센서를 자동으로 찾으려고 시도합니다. |
| 다운로드 폴더 경로 | 문자열 | 해당 사항 없음 | 예 | 파일을 다운로드할 폴더의 절대 경로를 지정합니다. |
| 덮어쓰기 | 체크박스 | 선택 | 예 | 사용 설정하면 작업에서 같은 경로의 기존 파일을 덮어씁니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
File Path = "absolute path to the file"
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 상태 코드 500 또는 400인 경우 (is_success = false): 'Trellix Central Management의 어플라이언스 '{0}'에서 작업이 맞춤 규칙 파일을 다운로드할 수 없습니다. 이유: {1}'. 센서가 자동으로 검색되지 않는 경우: ''맞춤 규칙 파일 다운로드' 작업을 실행하는 동안 오류가 발생했습니다. 이유: FireEye NX 어플라이언스의 센서를 찾을 수 없습니다. 'Sensor Name'(센서 이름) 매개변수에 수동으로 입력하세요.''.format(error.Stacktrace) 잘못된 센서가 제공된 경우: ''맞춤 규칙 파일 다운로드' 작업을 실행하는 중에 오류가 발생했습니다. 이유: FireEye NX 어플라이언스의 이름이 {0}인 센서를 찾을 수 없습니다. 철자를 확인하세요.''.format(error.Stacktrace) |
일반 |
커넥터
FireEye CM - Alerts Connector
설명
커넥터가 Trellix Central Management 알림을 Google SecOps로 인제스트합니다. 여기에는 FireEye NX 및 EX 어플라이언스에서 생성된 알림이 포함됩니다.
Google SecOps에서 FireEye CM - Alerts Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 센서 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | eventType | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
환경 필드 이름 |
문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
환경 정규식 패턴 |
문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://x.x.x.x:x | 예 | Trellix Central Management 서버의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Trellix Central Management 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Trellix Central Management 계정의 비밀번호입니다. |
| 최대 시간을 뒤로 가져오기 | 정수 | 1 | 아니요 | 알림을 가져올 위치로부터의 시간입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Trellix Central Management 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.