McAfee ePO
Integrationsversion: 31.0
McAfee ePO-Integration in Google Security Operations konfigurieren
McAfee ePO-Integration mit einem CA-Zertifikat konfigurieren
Bei Bedarf können Sie Ihre Verbindung mit einer CA-Zertifikatsdatei bestätigen.
Bevor Sie beginnen, benötigen Sie Folgendes:
- Die CA-Zertifikatsdatei
- Die aktuelle Version der McAfee ePO-Integration
Führen Sie die folgenden Schritte aus, um die Integration mit einem CA-Zertifikat zu konfigurieren:
- Parsen Sie Ihre CA-Zertifikatsdatei in eine Base64-Zeichenfolge.
- Öffnen Sie die Seite mit den Konfigurationsparametern für die Integration.
- Fügen Sie den String in das Feld CA Certificate File (Datei mit CA-Zertifikat) ein.
- Wenn Sie prüfen möchten, ob die Integration erfolgreich konfiguriert wurde, klicken Sie das Kästchen SSL prüfen an und klicken Sie auf Testen.
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| Serveradresse | String | https://<ServerAddress>:8443/remote/ | Ja | Serveradresse von Trellix ePO. Beispiel: https://127.0.0.1:8443/remote/ |
| Nutzername | String | – | Ja | Der Nutzername für die Serverauthentifizierung. |
| Passwort | Passwort | – | Ja | Das Passwort für die Serverauthentifizierung. |
| Gruppenname | String | – | Nein | Name der Gruppe. |
| CA-Zertifikatsdatei – in Base64-String geparst | String | – | Nein | – |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Tag hinzufügen
Beschreibung
Fügen Sie einem Endpunkt in Trellix ePO ein Tag hinzu. Hinweis: Sie können nur Tags anwenden, die im System vorhanden sind. Unterstützte Einheiten: Hostname, IP-Adresse.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Tag-Name | String | – | Ja | Geben Sie den Namen des Tags an, das den Endpunkten hinzugefügt werden muss. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn ein Erfolg vorliegt (is_success=true): Das Tag „{tag name}“ wurde den folgenden Endpunkten in Trellix ePO: {entity.identifier} Wenn das Tag bereits Teil des Endpunkts ist (is_success=true): Das Tag „{tag}“ war bereits Teil der folgenden Endpunkte in Trellix ePO: {entity.identifier} Wenn nicht erfolgreich für einen (is_success=true) Die Aktion konnte das Tag „{tag name}“ den folgenden Endpunkten in Trellix ePO nicht hinzufügen: {entity.identifier} Wenn nicht alle erfolgreich sind (is_success=false): Das Tag „{tag}“ wurde den angegebenen Endpunkten nicht hinzugefügt. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „Tag hinzufügen“. Grund: {traceback} Bei ungültigem Tag (Fehler) Fehler beim Ausführen der Aktion „Tag hinzufügen“. Grund: Das Tag „{tag name}“ wurde in Trellix ePO nicht gefunden. |
Allgemein |
Server- und Agent-DAT vergleichen
Beschreibung
Rufen Sie Server- und Agent-DAT-Informationen von den Endpunkten in Trellix ePO ab. Unterstützte Einheiten: Hostname, IP-Adresse.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Alert.DstPort | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Rule.msg | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Alert.IPSIDAlertID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Alert.SrcIP | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Alert.LastTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Alert.Protocol | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Alert.SrcPort | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Alert.DstIP | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | – | – |
JSON-Ergebnis
{
"server_version": {server_version}
"dat_version": {dat_version}
"equal": true → if server_version == dat_version, else false
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | wenn Erfolg für einen Server- und Agent-DAT-Informationen wurden erfolgreich von den folgenden Endpunkten in Trellix ePO abgerufen: {entity.identifier} wenn nicht erfolgreich für einen Die Aktion konnte keine Server- und Agent-DAT-Informationen von den folgenden Endpunkten in Trellix ePO abrufen: {entity.identifier} wenn nicht alle erfolgreich sind An den angegebenen Endpunkten wurden keine Informationen zu Server- und Agent-DAT gefunden. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „Server- und Agent-DAT vergleichen“. Grund: {traceback} |
Allgemein |
Agent-Informationen abrufen
Beschreibung
Informationen zu den Agenten des Endpunkts aus Trellix ePO abrufen. Unterstützte Einheiten: Hostname, IP.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| EPO_LastUpdate | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPO_ManagedState | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPO_Tags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPO_ExcludedTags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPO_AgentVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPO_AgentGUID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}
]
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn ein Erfolg vorliegt (is_success=true): Agent-Informationen zu den folgenden Endpunkten in Trellix ePO wurden erfolgreich abgerufen: {entity.identifier} Wenn nicht erfolgreich für einen (is_success=true) Die Aktion konnte keine Agent-Informationen zu den folgenden Endpunkten in Trellix ePO abrufen: {entity.identifier} Wenn nicht alle erfolgreich sind (is_success=false): Für die angegebenen Hosts wurden keine Informationen zur Agenda gefunden. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „Get Agent Information“. Grund: {traceback} |
Allgemein |
DAT-Version abrufen
Beschreibung
DAT-Informationen von den Endpunkten in Trellix ePO abrufen Unterstützte Einheiten: Hostname, IP.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Dat-Version | – | – |
JSON-Ergebnis
{
"DAT_version": {DAT version}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | wenn Erfolg für einen DAT-Informationen wurden erfolgreich von den folgenden Endpunkten in Trellix ePO abgerufen: {entity.identifier} wenn nicht erfolgreich für einen Die Aktion konnte keine DAT-Informationen von den folgenden Endpunkten in Trellix ePO abrufen: {entity.identifier} wenn nicht alle erfolgreich sind Für die angegebenen Endpunkte wurden keine Informationen zu DAT gefunden. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „Get Dat Version“. Grund: {traceback} |
Allgemein |
Ereignisse für Hash abrufen
Beschreibung
Informationen zu Ereignissen abrufen, die mit Hashes zusammenhängen Hinweis: Es werden nur MD5-Hashes unterstützt.
Parameter
| Name | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Ereignisse aus der Tabelle „EPExtendedEvent“ abrufen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, werden auch Informationen zu Hashes in der Tabelle „EPExtendedEvent“ gesucht. |
| Als verdächtig markieren | Kästchen | Ja | Falsch | Wenn diese Option aktiviert ist, werden alle Hashes, für die Ereignisse gefunden wurden, als verdächtig markiert. |
| Insight erstellen | Kästchen | Nein | Falsch | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen dazu erstellt, welchen Hashes Ereignisse zugeordnet sind. |
| Zurückzugebende Felder | CSV | EPOEvents.ThreatName, |
Falsch | Geben Sie an, welche Felder zurückgegeben werden sollen. Wenn nichts angegeben ist, werden alle verfügbaren Felder zurückgegeben. |
| Sortierfeld | String | – | Falsch | Gibt an, welches Feld zum Sortieren der Ergebnisse verwendet werden soll. |
| Sortierreihenfolge | DDL | ASC Mögliche Werte: ASC DESC |
Falsch | Gibt an, welche Sortierreihenfolge auf die Abfrage angewendet werden soll. |
| Zeitraum | DDL | Letzte Stunde Mögliche Werte: Letzte Stunde Letzte 6 Stunden Letzte 24 Stunden Letzte Woche Letzter Monat Benutzerdefiniert |
Falsch | Geben Sie einen Zeitraum für die Ereignisse an. Wenn „Benutzerdefiniert“ ausgewählt ist, müssen Sie auch „Beginn“ angeben. |
| Beginn | String | – | Falsch | Geben Sie die Startzeit für die Ereignisse an. Dieser Parameter ist erforderlich, wenn für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist. Format: ISO 8601 |
| Ende | String | – | Falsch | Geben Sie die Endzeit für die Ereignisse an. Format: ISO 8601. Wenn nichts angegeben ist und für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist, wird für diesen Parameter die aktuelle Zeit verwendet. |
| Maximale Anzahl zurückzugebender Ereignisse | Ganzzahl | 50 | Falsch | Geben Sie an, wie viele Ereignisse zurückgegeben werden sollen. Standard: 50. |
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| EPOEvents.ThreatCategory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.TargetUserName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.TargetPort | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.TargetFileName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPOEvents.TargetIPV4 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| EPO_AgentGUID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
Für Ereignisse, die in Trellix ePO für den aktuellen Hash gefunden werden, wird ein Insight erstellt.
JSON-Ergebnis
[
{
"EntityResult":
[
{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}
]
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Bei Erfolg und Verfügbarkeit von Ergebnissen: (is_success=true) „Verfügbare Ereignisse für die folgenden Hashes in Trellix ePO wurden zurückgegeben: {entity.identifier}“ Wenn nicht erfolgreich für einen: (is_success=true) „Die Aktion konnte in Trellix ePO keine Ereignisse für die folgenden Hashes finden: {entity.identifier}“ Wenn nicht für alle erfolgreich (is_success=false): „Für die angegebenen Endpunkte wurden in Trellix ePO keine Ereignisse gefunden.“ Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges (Fehler): „Fehler beim Ausführen der Aktion ‚Endpoint-Bedrohungen abrufen‘. Grund: {0}''.format(error.Stacktrace) Wenn „Error“ in der Antwort enthalten ist (Fehler): „Error executing action ‚Execute Entity Query‘. Grund: {0}''.format( response text) Wenn „Startzeit“ leer ist und „Zeitrahmen“ auf „Benutzerdefiniert“ festgelegt ist (Fehler): „Fehler beim Ausführen der Aktion ‚Endpunktdrohungen abrufen‘. Grund: „Start Time“ (Startzeit) muss angegeben werden, wenn im Parameter „Time Frame“ (Zeitrahmen) „Custom“ (Benutzerdefiniert) ausgewählt ist.“ |
Allgemein |
Get Host IPs Status
Beschreibung
Rufen Sie IPS-Informationen von den Endpunkten in Trellix ePO ab. Unterstützte Einheiten: Hostname, IP.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_status_received | Wahr/falsch | is_status_received:False |
JSON-Ergebnis
{
"IPS_status": {IPS_status}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | wenn Erfolg für einen IPS-Informationen wurden erfolgreich von den folgenden Endpunkten in Trellix ePO abgerufen: {entity.identifier} wenn nicht erfolgreich für einen Die Aktion konnte keine IPS-Informationen von den folgenden Endpunkten in Trellix ePO abrufen: {entity.identifier} wenn nicht alle erfolgreich sind Auf den bereitgestellten Endpunkten wurden keine Informationen zu IPS gefunden. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „Get Host IPS Status“. Grund: {traceback} |
Allgemein |
Status von Hostnetzwerk-IPs abrufen
Beschreibung
Rufen Sie Network IPS-Informationen von den Endpunkten in Trellix ePO ab. Unterstützte Einheiten: Hostname, IP.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_status_received | Wahr/falsch | is_status_received:False |
JSON-Ergebnis
{
"Network_IPS_status": {Network_IPS_status}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | wenn Erfolg für einen Die Network IPS-Informationen wurden von den folgenden Endpunkten in Trellix ePO abgerufen: {entity.identifier} wenn nicht erfolgreich für einen Die Aktion konnte keine Network IPS-Informationen von den folgenden Endpunkten in Trellix ePO abrufen: {entity.identifier} wenn nicht alle erfolgreich sind Für die angegebenen Endpunkte wurden keine Informationen zu Network IPS gefunden. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „Get Host Network IPS Status“. Grund: {traceback} |
Allgemein |
Zeitpunkt der letzten Kommunikation abrufen
Beschreibung
Rufen Sie Informationen zur letzten Kommunikationszeit von den Endpunkten in Trellix ePO ab. Unterstützte Einheiten: Hostname, IP-Adresse.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| isSuccess | Wahr/falsch | isSuccess:False |
JSON-Ergebnis
{
"last_communication_time": {last_communication_time}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | wenn Erfolg für einen Informationen zum Zeitpunkt der letzten Kommunikation wurden von den folgenden Endpunkten in Trellix ePO abgerufen: {entity.identifier} wenn nicht erfolgreich für einen Die Aktion konnte die Informationen zum Zeitpunkt der letzten Kommunikation von den folgenden Endpunkten in Trellix ePO nicht abrufen: {entity.identifier} wenn nicht alle erfolgreich sind Auf den bereitgestellten Endpunkten wurden keine Informationen zum Zeitpunkt der letzten Kommunikation gefunden. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „Get Last Communication Time“. Grund: {traceback} |
Allgemein |
McAfee EPO-Agent-Version abrufen
Beschreibung
Informationen zur Agent-Version über die Endpunkte in Trellix ePO abrufen. Unterstützte Einheiten: Hostname, IP-Adresse.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| McAfee Agent-Version | – | – |
JSON-Ergebnis
{
"ePO_agent_version": ePO_agent_version
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | wenn Erfolg für einen Agent-Versionsinformationen wurden erfolgreich von den folgenden Endpunkten in Trellix ePO abgerufen: {entity.identifier} wenn nicht erfolgreich für einen Die Aktion konnte keine Informationen zur Agent-Version von den folgenden Endpunkten in Trellix ePO abrufen: {entity.identifier} wenn nicht alle erfolgreich sind Auf den bereitgestellten Endpunkten wurden keine Informationen zur Agent-Version gefunden. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „Get Last Communication Time“. Grund: {traceback} |
Allgemein |
Systeminformationen abrufen
Beschreibung
Gibt Systeminformationen zu den Endpunkten aus Trellix ePO zurück. Unterstützte Einheiten: Hostname, IP.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Insight erstellen | Kästchen | Kästchen angeklickt | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen zum Endpunkt erstellt. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| FreeDiskSpace | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Nutzername | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| DomainName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| LastAgentHandler | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPV4x | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| OSBitMode | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPV6 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| OSType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| SysvolFreeSpace | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPHostName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| CPUSerialNum | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPSubnetMask | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| SysvolTotalSpace | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPSubnet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Beschreibung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| FreeMemory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| CPUSpeed | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| SubnetMask | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPAddress | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| DefaultLangID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| OSPlatform | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| NetAddress | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| TotalDiskSpace | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| SubnetAddress | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| NumOfCPU | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| TimeZone | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| SystemDescription | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Vdi | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| OSBuildNum | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| OSVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IsPortable | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| TotalPhysicalMemory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| IPXAddress | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| UserProperty7 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ParentID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| CPUType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
.png?hl=de)
JSON-Ergebnis
[
{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": " ",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": " ",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": " ",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": " ",
"UserProperty6": " ",
"UserProperty5": " ",
"UserProperty4": " ",
"UserProperty3": " ",
"UserProperty2": " ",
"UserProperty1": " ",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": " "
},
"Entity": "1.1.1.1"
}
]
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn die Anfrage für einen Nutzer erfolgreich ist (is_success=true): Systeminformationen zu den folgenden Endpunkten wurden erfolgreich von Trellix ePO abgerufen: {entity.identifier} Wenn nicht erfolgreich (is_success=true): Die Aktion konnte keine Systeminformationen zu den folgenden Endpunkten von Trellix ePO abrufen: {entity.identifier} Wenn nicht für alle erfolgreich (is_success=false) Es wurden keine Systeminformationen zu den angegebenen Endpunkten gefunden. Bei kritischem Fehler: Fehler beim Ausführen der Aktion „Systeminformationen abrufen“. Grund: {error.traceback} |
Allgemein |
Virus Engine-Agent-Version abrufen
Beschreibung
Rufen Sie die Versionsinformationen des Virus Engine-Agents von den Endpunkten in McAfee ePO ab. Unterstützte Einheiten: Hostname, IP-Adresse.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Virus Engine Agent-Version | – | – |
JSON-Ergebnis
{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | wenn Erfolg für einen Die Versionsinformationen des Virus Engine-Agents wurden erfolgreich von den folgenden Endpunkten in Trellix ePO abgerufen: {entity.identifier} wenn nicht erfolgreich für einen Die Version des Virus Engine-Agents konnte nicht von den folgenden Endpunkten in Trellix ePO abgerufen werden: {entity.identifier} wenn nicht alle erfolgreich sind Auf den bereitgestellten Endpunkten wurden keine Informationen zur Virus Engine-Agent-Version gefunden. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „Get Virus Engine Agent Version“. Grund: {traceback} |
Allgemein |
Ping
Beschreibung
Testen Sie die Verbindung zu Trellix ePO mit den Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| null | – | – |
JSON-Ergebnis
N/A
Tag entfernen
Beschreibung
Entfernen Sie ein Tag von einem Endpunkt in Trellix ePO. Unterstützte Einheiten: Hostname, IP-Adresse.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Tag-Name | String | – | Ja | Geben Sie den Namen des Tags an, das von den Endpunkten entfernt werden muss. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn ein Erfolg vorliegt (is_success=true): Das Tag „{tag name}“ wurde erfolgreich von den folgenden Endpunkten entfernt: in Trellix ePO: {entity.identifier} Wenn das Tag nicht Teil des Endpunkts ist (is_success=true): Das Tag „{tag}“ war nicht Teil der folgenden Endpunkte in Trellix ePO: {entity.identifier} Wenn nicht erfolgreich für einen (is_success=true) Die Aktion konnte das Tag „{tag name}“ nicht von den folgenden Endpunkten in Trellix ePO entfernen: {entity.identifier} Wenn nicht alle erfolgreich sind (is_success=false): Das Tag „{tag}“ wurde nicht von den angegebenen Endpunkten entfernt. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „Tag entfernen“. Grund: {traceback} Bei ungültigem Tag (Fehler) Fehler beim Ausführen der Aktion „Tag entfernen“. Grund: Das Tag „{tag name}“ wurde in Trellix ePO nicht gefunden. |
Allgemein |
Vollständigen Scan ausführen
Beschreibung
Führen Sie einen vollständigen Scan der bereitgestellten Endpunkte in Trellix ePO durch. Unterstützte Einheiten: Hostname, IP.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Aufgabenname | String | On-Demand-Scan – Vollständiger Scan | Ja | Geben Sie an, welche Aufgabe ausgeführt werden soll, um einen vollständigen Scan zu erhalten. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| RunTask_Status | – | – |
JSON-Ergebnis
{
"status": "success" or "failure"
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn ein Erfolg für einen: Der vollständige Scan wurde basierend auf der Aufgabe „{task name}“ auf den folgenden Endpunkten in Trellix ePO ausgeführt: {entity.identifier} Wenn eine der beiden Aktionen nicht erfolgreich ist: Die Aktion konnte keinen vollständigen Scan basierend auf der Aufgabe „{task name}“ auf den folgenden Endpunkten in Trellix ePO ausführen: {entity.identifier} Wenn nicht alle erfolgreich sind: Der vollständige Scan wurde nicht für die angegebenen Endpunkte ausgeführt. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „Vollständigen Scan ausführen“. Grund: {error traceback} Wenn die Aufgabe nicht gefunden wird (Fehler): Fehler beim Ausführen der Aktion „Vollständigen Scan ausführen“. Grund: Die Aufgabe „{task name}“ wurde in Trellix ePO nicht gefunden. Bitte überprüfen Sie die Rechtschreibung. |
Allgemein |
McAfee Agent aktualisieren
Beschreibung
Aktualisieren Sie den McAfee-Agent auf den bereitgestellten Endpunkten in Trellix ePO. Aufgabe für Windows: DAT_Update_Windows_CWS. Aufgabe für Linux: DAT_Update_Linux_CWS. Unterstützte Einheiten: Hostname, IP.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Aufgabenname | String | DAT_Update_Windows_CWS | Ja | Geben Sie an, welche Aufgabe ausgeführt werden soll, um den McAfee Agent zu aktualisieren. Der Standardwert für Windows ist DAT_Update_Windows_CWS. Unter Linux ist es DAT_Update_Linux_CWS. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Update_Status | – | – |
JSON-Ergebnis
{
"status": "success" or "failure"
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn ein Erfolg für einen: Die Agents wurden basierend auf der Aufgabe „{task name}“ auf den folgenden Endpunkten in Trellix ePO erfolgreich aktualisiert: {entity.identifier} Wenn eine der beiden Aktionen nicht erfolgreich ist: Die Aktion konnte den Agent basierend auf der Aufgabe „{task name}“ auf den folgenden Endpunkten in Trellix ePO nicht aktualisieren: {entity.identifier} Wenn nicht alle erfolgreich sind: Keiner der Agents wurde aktualisiert. Bei kritischem Fehler (Fehler): Fehler beim Ausführen der Aktion „McAfee Agent aktualisieren“. Grund: {error traceback} Wenn die Aufgabe nicht gefunden wird (Fehler): Fehler beim Ausführen der Aktion „McAfee Agent aktualisieren“. Grund: Die Aufgabe „{task name}“ wurde in Trellix ePO nicht gefunden. Bitte überprüfen Sie die Rechtschreibung. |
Allgemein |
Connector
McAfee EPO – Threats Connector
Beschreibung
Ereignisse aus der Tabelle „EPOEvents“ in Google SecOps abrufen Die Whitelist funktioniert mit Analysatornamen.
McAfee EPO – Threats Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | EPOEvents_ThreatType | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | http://x.x.x.x:8443/remote/ | Ja | API-Stammverzeichnis der Trellix ePO-Instanz. |
| Nutzername | String | – | Ja | Nutzername der Trellix ePO-Instanz. |
| Passwort | Passwort | Ja | Das Passwort der Trellix ePO-Instanz. | |
| Gruppenname | String | Nein | Falls angegeben, ruft der Connector nur Bedrohungen von Endpunkten ab, die Teil dieser Gruppe sind. | |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Ereignisse abgerufen werden sollen. |
| Max. abzurufende Ereignisse | Ganzzahl | 10 | Nein | Anzahl der Ereignisse, die pro Connector-Iteration verarbeitet werden sollen. Der Standardwert ist 10. |
| Niedrigster abzurufender Schweregrad | String | Mittel | Nein | Niedrigster Schweregrad der abzurufenden Ereignisse. Standardmäßig werden alle Ereignisse vom Connector aufgenommen. Mögliche Werte: Info, Niedrig, Mittel, Hoch, Kritisch. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Trellix ePO-Server gültig ist. |
| CA-Zertifikatsdatei | String | – | Falsch | Base64-codierte CA-Zertifikatsdatei. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten