FireEye ETP
Versão da integração: 6.0
Exemplos de utilização
Ingira alertas do Trellix Email Security – Cloud Edition e use-os para criar alertas do Google Security Operations. Em seguida, no Google SecOps, é possível usar alertas para realizar orquestrações com manuais de procedimentos ou análises manuais.
Configure a integração do FireEye ETP para funcionar com o Google SecOps
Onde encontrar a chave da API
- Navegue até às definições da conta.
- Selecione a secção "Chaves da API"
- Prima o botão "Criar chave da API"
- Preencha os campos obrigatórios. Como produto, escolha "Email Threat Prevention".
- Prima o botão "Seguinte"
- Prima o botão "Conceder tudo"
- Prima o botão "Criar chave da API"
- Copie a chave da API e cole-a no parâmetro de configuração da integração "Chave da API".
Configure a integração do FireEye ETP no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://etp.us.fireeye.com | Sim | Raiz da API da instância do Trellix Email Security – Cloud Edition. |
| Chave de API | String | N/A | Sim | Chave da API da conta do Trellix Email Security – Cloud Edition. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, valide se o certificado SSL para a ligação ao servidor do Anomali Staxx Check Point Cloud Guard Dome9 é válido. |
Ações
Tchim-tchim
Descrição
Teste a conetividade à Trellix Email Security – Cloud Edition com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| N/A |
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook:
A ação deve falhar e parar a execução de um playbook:
|
Geral |
Conetor
FireEye ETP - Email Alerts Connector
Descrição
Extraia alertas do Trellix Email Security – Cloud Edition. Os alertas do Trellix Email Security - Cloud Edition são agrupados com base no ID do email num único alerta do Google SecOps.
Configure o conetor de alertas de email do FireEye ETP no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | alertType | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://etp.us.fireeye.com | Raiz da API da instância do Trellix Email Security – Cloud Edition. | |
| Chave de API | String | N/A | Sim | Chave da API da conta do Trellix Email Security – Cloud Edition. |
| Fetch Max Hours Backwards | Número inteiro | 1 | Não | Número de horas a partir das quais recolher alertas. |
| Fuso horário | String | Não | Fuso horário da instância. Predefinição: UTC. Exemplo: +1 é UTC+1 e -1 é UTC-1. | |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor Anomali Staxx é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.