FireEye ETP
Versión de integración: 6.0
Casos prácticos
Ingiere alertas de Trellix Email Security - Cloud Edition y úsalas para crear alertas de Google Security Operations. A continuación, en Google SecOps, las alertas se pueden usar para realizar orquestaciones con guías o análisis manuales.
Configurar la integración de FireEye ETP para que funcione con Google SecOps
Dónde encontrar la clave de API
- Ve a la configuración de la cuenta.
- Selecciona la sección "Claves de API".
- Pulsa el botón "Crear clave de API".
- Rellena los campos obligatorios. Como producto, elige "Email Threat Prevention" ("Prevención de amenazas por correo electrónico").
- Pulsa el botón "Siguiente".
- Pulsa el botón "Conceder todo".
- Pulsa el botón "Crear clave de API".
- Copia la clave de API y pégala en el parámetro de configuración de la integración "Clave de API".
Configurar la integración de FireEye ETP en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://etp.us.fireeye.com | Sí | Raíz de la API de la instancia de Trellix Email Security - Cloud Edition. |
| Clave de API | Cadena | N/A | Sí | Clave de API de la cuenta de Trellix Email Security - Cloud Edition. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Anomali Staxx Check Point CloudGuard Dome9 sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con Trellix Email Security - Cloud Edition con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| N/A |
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas:
La acción debería fallar y detener la ejecución de una guía:
|
General |
Conector
FireEye ETP - Email Alerts Connector
Descripción
Extrae alertas de Trellix Email Security - Cloud Edition. Las alertas de Trellix Email Security - Cloud Edition se agrupan en función del ID de correo en una alerta de Google SecOps.
Configurar el conector de alertas de correo de FireEye ETP en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | alertType | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://etp.us.fireeye.com | Raíz de la API de la instancia de Trellix Email Security - Cloud Edition. | |
| Clave de API | Cadena | N/A | Sí | Clave de API de la cuenta de Trellix Email Security - Cloud Edition. |
| Fetch Max Hours Backwards | Entero | 1 | No | Número de horas desde las que se obtienen las alertas. |
| Zona horaria | Cadena | No | Zona horaria de la instancia. Valor predeterminado: UTC. Por ejemplo, +1 será UTC+1 y -1 será UTC-1. | |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si está habilitada, la lista de permitidos se usará como lista de denegados. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, comprueba que el certificado SSL de la conexión al servidor de Anomali Staxx sea válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.