FireEye ETP
Version de l'intégration : 6.0
Cas d'utilisation
Ingérez les alertes Trellix Email Security – Cloud Edition et utilisez-les pour créer des alertes Google Security Operations. Ensuite, dans Google SecOps, les alertes peuvent être utilisées pour effectuer des orchestrations avec des playbooks ou des analyses manuelles.
Configurer l'intégration de FireEye ETP pour qu'elle fonctionne avec Google SecOps
Où trouver la clé API
- Accédez aux paramètres du compte.
- Sélectionnez la section "Clés API".
- Appuyez sur le bouton "Créer une clé API".
- Remplissez les champs obligatoires. Sélectionnez "Email Threat Prevention" (Protection contre les menaces par e-mail) comme produit.
- Appuyez sur le bouton "Suivant".
- Appuyez sur le bouton "Tout autoriser".
- Appuyez sur le bouton "Créer une clé API".
- Copiez la clé API et collez-la dans le paramètre de configuration de l'intégration "Clé API".
Configurer l'intégration de FireEye ETP dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://etp.us.fireeye.com | Oui | Racine de l'API de l'instance Trellix Email Security – Cloud Edition. |
| Clé API | Chaîne | N/A | Oui | Clé API du compte Trellix Email Security – Cloud Edition. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, vérifiez que le certificat SSL de la connexion au serveur Anomali Staxx Check Point CloudGuard Dome9 est valide. |
Actions
Ping
Description
Testez la connectivité à Trellix Email Security – Cloud Edition avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| N/A |
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
L'action doit échouer et arrêter l'exécution d'un playbook :
|
Général |
Connecteur
Connecteur d'alertes par e-mail FireEye ETP
Description
Récupérez les alertes de Trellix Email Security – Cloud Edition. Les alertes de Trellix Email Security – Cloud Edition sont regroupées en une seule alerte Google SecOps en fonction de l'adresse e-mail.
Configurer le connecteur d'alertes par e-mail FireEye ETP dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | alertType | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://etp.us.fireeye.com | Racine de l'API de l'instance Trellix Email Security – Cloud Edition. | |
| Clé API | Chaîne | N/A | Oui | Clé API du compte Trellix Email Security – Cloud Edition. |
| Récupérer les heures Max en arrière | Integer | 1 | Non | Nombre d'heures à partir duquel récupérer les alertes. |
| Fuseau horaire | Chaîne | Non | Fuseau horaire de l'instance. Valeur par défaut : UTC. Par exemple, +1 correspond à UTC+1 et -1 à UTC-1. | |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste blanche sera utilisée comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Anomali Staxx est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.