McAfee ePO

Versión de integración: 31.0

Configurar la integración de McAfee ePO en Google Security Operations

Configurar la integración de McAfee ePO con un certificado de AC

Si es necesario, puedes verificar tu conexión con un archivo de certificado de AC.

Antes de empezar, asegúrate de que tienes lo siguiente:

  • El archivo de certificado de la AC
  • La versión más reciente de la integración de McAfee ePO

Para configurar la integración con un certificado de CA, sigue estos pasos:

  1. Analiza el archivo de certificado de la AC en una cadena Base64.
  2. Abre la página de parámetros de configuración de la integración.
  3. Inserta la cadena en el campo CA Certificate File (Archivo de certificado de AC).
  4. Para comprobar que la integración se ha configurado correctamente, selecciona la casilla Verificar SSL y haz clic en Probar.

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la instancia Cadena N/A No Nombre de la instancia para la que quiere configurar la integración.
Descripción Cadena N/A No Descripción de la instancia.
Dirección del servidor Cadena https://<ServerAddress>:8443/remote/ Dirección del servidor de Trellix ePO. Ejemplo: https://127.0.0.1:8443/remote/
Nombre de usuario Cadena N/A Nombre de usuario para la autenticación del servidor.
Contraseña Contraseña N/A La contraseña para la autenticación del servidor.
Nombre del grupo Cadena N/A No Nombre del grupo.
Archivo de certificado de AC: analizado en una cadena Base64 Cadena N/A No N/A
Ejecutar de forma remota Casilla Desmarcada No Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Añadir etiqueta

Descripción

Añadir una etiqueta a un endpoint en Trellix ePO. Nota: Solo puedes aplicar etiquetas que ya estén en el sistema. Entidades admitidas: nombre de host e IP.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la etiqueta Cadena N/A Especifica el nombre de la etiqueta que se debe añadir a los endpoints.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
N/A
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si se ha completado correctamente (is_success=true):

Se ha añadido correctamente la etiqueta "{tag name}" a los siguientes endpoints de

Trellix ePO: {entity.identifier}

Si la etiqueta ya forma parte del endpoint (is_success=true):

La etiqueta "{tag}" ya formaba parte de los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se resuelve correctamente (is_success=true)

Action no ha podido añadir la etiqueta "{tag name}" a los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se resuelve correctamente (is_success=false):

No se ha añadido la etiqueta "{tag} a los endpoints proporcionados".

Si se produce un error crítico (falla):

Error al ejecutar la acción "Añadir etiqueta". Motivo: {traceback}

Si la etiqueta no es válida (error)

Error al ejecutar la acción "Añadir etiqueta". Motivo: no se ha encontrado la etiqueta "{tag name}" en Trellix ePO.

 General

Comparar DAT de servidor y de agente

Descripción

Obtiene información de DAT del servidor y del agente de los endpoints de Trellix ePO. Entidades admitidas: nombre de host e IP.

Parámetros

N/A

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: cuándo se aplica
Alert.DstPort Devuelve si existe en el resultado JSON.
Rule.msg Devuelve si existe en el resultado JSON.
Alert.IPSIDAlertID Devuelve si existe en el resultado JSON.
Alert.SrcIP Devuelve si existe en el resultado JSON.
Alert.LastTime Devuelve si existe en el resultado JSON.
Alert.Protocol Devuelve si existe en el resultado JSON.
Alert.SrcPort Devuelve si existe en el resultado JSON.
Alert.DstIP Devuelve si existe en el resultado JSON.
Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
null N/A N/A
Resultado de JSON
{

"server_version": {server_version}

"dat_version": {dat_version}

"equal": true  if server_version == dat_version, else false

}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se ha obtenido correctamente la información DAT del servidor y del agente de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se resuelve correctamente para uno

No se ha podido recuperar la información de DAT del servidor y del agente de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se consigue el éxito para todos

No se ha encontrado información sobre el archivo DAT del servidor y del agente en los endpoints proporcionados.

Si se produce un error crítico (falla):

Error al ejecutar la acción "Comparar DAT del servidor y del agente". Motivo: {traceback}

 General

Obtener información del agente

Descripción

Recupera información sobre los agentes de los endpoints de Trellix ePO. Entidades admitidas: nombre de host e IP.

Parámetros

N/A

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: cuándo se aplica
EPO_LastUpdate Devuelve si existe en el resultado JSON.
EPO_ManagedState Devuelve si existe en el resultado JSON.
EPO_Tags Devuelve si existe en el resultado JSON.
EPO_ExcludedTags Devuelve si existe en el resultado JSON.
EPO_AgentVersion Devuelve si existe en el resultado JSON.
EPO_AgentGUID Devuelve si existe en el resultado JSON.
Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "EntityResult":
        {
            "LastUpdate": "2019-01-22T13:04:49+02:00",
            "ManagedState": "1",
            "Tags": "Server, Workstation",
            "ExcludedTags": "",
            "AgentVersion": "1.1.1.1",
            "AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
        },
        "Entity": "1.1.1.1"
    }
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si se ha completado correctamente (is_success=true):

Se ha obtenido correctamente la información del agente sobre los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se resuelve correctamente (is_success=true)

No se ha podido obtener información del agente sobre los siguientes endpoints en Trellix ePO: {entity.identifier}

Si no se resuelve correctamente (is_success=false):

No se ha encontrado información de agenda para los anfitriones proporcionados.

Si se produce un error crítico (falla):

Error al ejecutar la acción "Get Agent Information". Motivo: {traceback}

 General

Get Dat Version

Descripción

Recupera información de DAT de los endpoints de Trellix ePO. Entidades admitidas: nombre de host e IP.

Parámetros

N/A

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
Versión de Dat N/A N/A
Resultado de JSON
{
"DAT_version": {DAT version}
}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se ha obtenido correctamente información de DAT de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se resuelve correctamente para uno

La acción no ha podido recuperar información de DAT de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se consigue el éxito para todos

No se ha encontrado información sobre DAT en los endpoints proporcionados.

Si se produce un error crítico (falla):

Error al ejecutar la acción "Get Dat Version". Motivo: {traceback}

 General

Get Events for Hash

Descripción

Recupera información sobre eventos relacionados con hashes. Nota: Solo se admiten hashes MD5.

Parámetros

Nombre Tipo Valor predeterminado Es obligatorio Descripción
Fetch Events From EPExtendedEvent Table Casilla Desmarcada No Si está habilitada, la acción también usará la tabla "EPExtendedEvent" para buscar información sobre los hashes.
Marcar como sospechoso Casilla Falso Si está habilitada, la acción marcará como sospechosos todos los hashes de los que se hayan encontrado eventos.
Crear estadística Casilla No Falso Si se habilita, la acción creará una estadística que contendrá información sobre los hashes que tienen eventos asociados.
Campos que se van a devolver CSV

EPOEvents.ThreatName,
EPOEvents.ThreatType,
EPOEvents.ThreatActionTaken,
EPOEvents.ThreatHandled,
EPOEvents.ThreatCategory
,EPOEvents.TargetHostName,
EPOEvents.TargetUserName,
EPOEvents.TargetFileName,
EPOEvents.TargetProcessName,
EPOEvents.TargetPort,EPOEvents.
TargetProtocol,EPOEvents.
ThreatCategory,EPOEvents.
TargetIPV4,EPOEvents.
SourceHostName,EPOEvents.
SourceIPV4,EPOEvents.
SourceUserName,EPOEvents.
SourceProcessName,EPOEvents.
SourceURL

 Falso Especifica qué campos quieres que se devuelvan. Si no se especifica nada, la acción devolverá todos los campos disponibles.
Campo de ordenación Cadena N/A Falso Especifica qué campo se debe usar para ordenar los resultados.
Orden de clasificación DDL

Ascendente

Valores posibles:

Ascendente

Descendente

 Falso Especifica el orden que se debe aplicar a la consulta.
Periodo DDL

Última hora

Valores posibles:

Última hora

Últimas 6 horas

Últimas 24 horas

La semana pasada

El mes pasado

Personalizado

 Falso Especifica un periodo para los eventos. Si se selecciona "Personalizado", también debe indicar la "Hora de inicio".
Hora de inicio Cadena N/A Falso Especifica la hora de inicio de los eventos. Este parámetro es obligatorio si se selecciona "Personalizado" en el parámetro "Periodo". Formato: ISO 8601
Hora de finalización Cadena N/A Falso Especifica la hora de finalización de los eventos. Formato: ISO 8601. Si no se proporciona nada y se selecciona "Personalizado" en el parámetro "Periodo", se usará la hora actual.
Número máximo de eventos que se devolverán Entero 50 Falso Especifica cuántos eventos quieres que se devuelvan. Valor predeterminado: 50.

Fecha de ejecución

Esta acción se ejecuta en la entidad Filehash.

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: cuándo se aplica
EPOEvents.ThreatCategory Devuelve si existe en el resultado JSON.
EPOEvents.TargetUserName Devuelve si existe en el resultado JSON.
EPOEvents.TargetPort Devuelve si existe en el resultado JSON.
EPOEvents.TargetFileName Devuelve si existe en el resultado JSON.
EPOEvents.TargetIPV4 Devuelve si existe en el resultado JSON.
EPO_AgentGUID Devuelve si existe en el resultado JSON.
Estadísticas

Se crearán estadísticas de los eventos que se encuentren en Trellix ePO para el hash actual.

Resultado de JSON
[
    {
        "EntityResult":
        [
            {
                "EPOEvents.ThreatCategory": "av.detect",
                "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
                "EPOEvents.TargetPort": "None",
                "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
                "EPOEvents.TargetIPV4": -1979711347,
                "EPOEvents.ThreatName": "EICAR test file",
                "EPOEvents.SourceUserName": "None",
                "EPOEvents.TargetProcessName": "None",
                "EPOEvents.SourceProcessName": "None",
                "EPOEvents.ThreatType": "test",
                "EPOEvents.SourceIPV4": -1979711347,
                "EPOEvents.TargetProtocol": "None",
                "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
                "EPOEvents.SourceURL": "None",
                "EPOEvents.ThreatActionTaken": "deleted",
                "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
                "EPOEvents.ThreatHandled": "True",
                "EPOEvents.SourceHostName": "_"
            }, {
                "EPOEvents.ThreatCategory": "av.detect",
                "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
                "EPOEvents.TargetPort": "None",
                "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
                "EPOEvents.TargetIPV4": -1979711347,
                "EPOEvents.ThreatName": "EICAR test file",
                "EPOEvents.SourceUserName": "None",
                "EPOEvents.TargetProcessName": "None",
                "EPOEvents.SourceProcessName": "None",
                "EPOEvents.ThreatType": "test",
                "EPOEvents.SourceIPV4": -1979711347,
                "EPOEvents.TargetProtocol": "None",
                "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
                "EPOEvents.SourceURL": "None",
                "EPOEvents.ThreatActionTaken": "deleted",
                "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
                "EPOEvents.ThreatHandled": "True",
                "EPOEvents.SourceHostName": "_"
            }],
        "Entity": "44d88612fea8a8f36de82e1278abb02f"
    }
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si se completa correctamente y los resultados están disponibles (is_success=true):

"Se han devuelto correctamente los eventos disponibles de los siguientes hashes en Trellix ePO: {entity.identifier}"

Si no se resuelve correctamente en uno de los casos (is_success=true):

"Action no ha podido encontrar eventos para los siguientes hashes en Trellix ePO: {entity.identifier}"

Si no se resuelve correctamente para todos (is_success=false):

"No se han encontrado eventos para los endpoints proporcionados en Trellix ePO".

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Endpoint Threats". Motivo: {0}''.format(error.Stacktrace)

Si se produce un error en la respuesta (falla): "Error al ejecutar la acción "Ejecutar consulta de entidad". Motivo: {0}''.format( response text)

Si el campo Hora de inicio está vacío y el valor de "Periodo" es "Personalizado" (error): "Error al ejecutar la acción "Obtener amenazas de endpoint". Motivo: se debe proporcionar el valor de "Hora de inicio" cuando se selecciona "Personalizado" en el parámetro "Periodo".

 General

Obtener el estado de las IPs del host

Descripción

Recupera información de IPS de los endpoints de Trellix ePO. Entidades admitidas: nombre de host e IP.

Parámetros

N/A

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_status_received Verdadero/Falso is_status_received:False
Resultado de JSON
{
"IPS_status": {IPS_status}
}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se ha obtenido correctamente la información de IPS de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se resuelve correctamente para uno

La acción no ha podido obtener información de IPS de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se consigue el éxito para todos

No se ha encontrado información sobre IPS en los endpoints proporcionados.

Si se produce un error crítico (falla):

Error al ejecutar la acción "Get Host IPS Status". Motivo: {traceback}

 General

Obtener el estado de las IPs de red del host

Descripción

Recupera información de IPS de red de los endpoints de Trellix ePO. Entidades admitidas: nombre de host e IP.

Parámetros

N/A

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_status_received Verdadero/Falso is_status_received:False
Resultado de JSON
{
"Network_IPS_status": {Network_IPS_status}
}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se ha obtenido correctamente la información de IPS de red de los siguientes endpoints en Trellix ePO: {entity.identifier}

si no se resuelve correctamente para uno

No se ha podido recuperar la información de IPS de red de los siguientes endpoints en Trellix ePO: {entity.identifier}

si no se consigue el éxito para todos

No se ha encontrado información sobre IPS de red en los endpoints proporcionados.

Si se produce un error crítico (falla):

Error al ejecutar la acción "Get Host Network IPS Status". Motivo: {traceback}

 General

Obtener la hora de la última comunicación

Descripción

Recupera información sobre la hora de la última comunicación de los endpoints en Trellix ePO. Entidades admitidas: nombre de host e IP.

Parámetros

N/A

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
isSuccess Verdadero/Falso isSuccess:False
Resultado de JSON
{
"last_communication_time": {last_communication_time}
}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se ha obtenido correctamente la información de la hora de la última comunicación de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se resuelve correctamente para uno

No se ha podido obtener la información de la hora de la última comunicación de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se consigue el éxito para todos

No se ha encontrado información sobre la hora de la última comunicación en los endpoints proporcionados.

Si se produce un error crítico (falla):

Error al ejecutar la acción "Get Last Communication Time". Motivo: {traceback}

 General

Obtener la versión del agente de McAfee ePO

Descripción

Recupera información sobre la versión del agente de los endpoints de Trellix ePO. Entidades admitidas: nombre de host e IP.

Parámetros

N/A

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
Versión del agente de McAfee N/A N/A
Resultado de JSON
{
"ePO_agent_version": ePO_agent_version
}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se ha obtenido correctamente la información de la versión del agente de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se resuelve correctamente para uno

No se ha podido obtener la información de la versión del agente de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se consigue el éxito para todos

No se ha encontrado información sobre la versión del agente en los endpoints proporcionados.

Si se produce un error crítico (falla):

Error al ejecutar la acción "Get Last Communication Time". Motivo: {traceback}

 General

Obtener información del sistema

Descripción

Devuelve información del sistema sobre los endpoints de Trellix ePO. Entidades admitidas: nombre de host e IP.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Crear estadística Casilla Casilla marcada Si se habilita, la acción creará una estadística que contenga información sobre el endpoint.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: cuándo se aplica
FreeDiskSpace Devuelve si existe en el resultado JSON.
Nombre de usuario Devuelve si existe en el resultado JSON.
DomainName Devuelve si existe en el resultado JSON.
LastAgentHandler Devuelve si existe en el resultado JSON.
IPV4x Devuelve si existe en el resultado JSON.
OSBitMode Devuelve si existe en el resultado JSON.
IPV6 Devuelve si existe en el resultado JSON.
OSType Devuelve si existe en el resultado JSON.
SysvolFreeSpace Devuelve si existe en el resultado JSON.
IPHostName Devuelve si existe en el resultado JSON.
CPUSerialNum Devuelve si existe en el resultado JSON.
IPSubnetMask Devuelve si existe en el resultado JSON.
SysvolTotalSpace Devuelve si existe en el resultado JSON.
IPSubnet Devuelve si existe en el resultado JSON.
Descripción Devuelve si existe en el resultado JSON.
FreeMemory Devuelve si existe en el resultado JSON.
CPUSpeed Devuelve si existe en el resultado JSON.
SubnetMask Devuelve si existe en el resultado JSON.
IPAddress Devuelve si existe en el resultado JSON.
DefaultLangID Devuelve si existe en el resultado JSON.
OSPlatform Devuelve si existe en el resultado JSON.
NetAddress Devuelve si existe en el resultado JSON.
TotalDiskSpace Devuelve si existe en el resultado JSON.
SubnetAddress Devuelve si existe en el resultado JSON.
NumOfCPU Devuelve si existe en el resultado JSON.
TimeZone Devuelve si existe en el resultado JSON.
SystemDescription Devuelve si existe en el resultado JSON.
Vdi Devuelve si existe en el resultado JSON.
OSBuildNum Devuelve si existe en el resultado JSON.
OSVersion Devuelve si existe en el resultado JSON.
IsPortable Devuelve si existe en el resultado JSON.
TotalPhysicalMemory Devuelve si existe en el resultado JSON.
IPXAddress Devuelve si existe en el resultado JSON.
UserProperty7 Devuelve si existe en el resultado JSON.
ParentID Devuelve si existe en el resultado JSON.
CPUType Devuelve si existe en el resultado JSON.
Estadísticas

imagen (1134)

Resultado de JSON
[
    {
        "EntityResult":
        {
            "FreeDiskSpace": "444316",
            "UserName": "Admin",
            "OSServicePackVer": " ",
            "DomainName": "WORKGROUP",
            "LastAgentHandler": "1",
            "IPV4x": "-1979711239",
            "OSBitMode": "1",
            "IPV6": "0:0:0:0:0:FFFF:A00:F9",
            "OSType": "Windows Server 2012 R2",
            "SysvolFreeSpace": "94782",
            "IPHostName": "McAfee-ePO",
            "CPUSerialNum": "N/A",
            "IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
            "SysvolTotalSpace": "161647",
            "IPSubnet": "0:0:0:0:0:FFFF:A00:0",
            "Description": "None",
            "FreeMemory": "1626767360",
            "CPUSpeed": "2400",
            "SubnetMask": " ",
            "IPAddress": "1.1.1.1",
            "DefaultLangID": "0409",
            "OSPlatform": "Server",
            "ComputerName": "MCAFEE-EPO",
            "OSOEMID": "00252-00112-26656-AA653",
            "NetAddress": "005056A56847",
            "TotalDiskSpace": "511646",
            "SubnetAddress": " ",
            "NumOfCPU": "4",
            "TimeZone": "Jerusalem Standard Time",
            "SystemDescription": "N/A",
            "Vdi": "0",
            "OSBuildNum": "9600",
            "OSVersion": "6.3",
            "IsPortable": "0",
            "TotalPhysicalMemory": "6441984000",
            "IPXAddress": "N/A",
            "UserProperty7": " ",
            "UserProperty6": " ",
            "UserProperty5": " ",
            "UserProperty4": " ",
            "UserProperty3": " ",
            "UserProperty2": " ",
            "UserProperty1": " ",
            "ParentID": "8",
            "CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
            "UserProperty8": " "
        },
        "Entity": "1.1.1.1"
    }
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si se completa correctamente en uno de los casos (is_success=true):

Se ha obtenido correctamente información del sistema sobre los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se resuelve correctamente en uno de los casos (is_success=true):

La acción no ha podido recuperar información del sistema sobre los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se ha completado correctamente para todos (is_success=false)

No se ha encontrado información del sistema sobre los endpoints proporcionados.

Si se trata de un error crítico:

Error al ejecutar la acción "Obtener información del sistema". Motivo: {error.traceback}

 General

Get Virus Engine Agent Version

Descripción

Recupera información de la versión del agente del motor antivirus de los endpoints de McAfee ePO. Entidades admitidas: nombre de host e IP.

Parámetros

N/A

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
Versión del agente del motor antivirus N/A N/A
Resultado de JSON
{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se ha obtenido correctamente la información de la versión del agente de Virus Engine de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se resuelve correctamente para uno

No se ha podido obtener la información de la versión del agente de Virus Engine de los siguientes endpoints de Trellix ePO: {entity.identifier}

si no se consigue el éxito para todos

No se ha encontrado información sobre la versión del agente de Virus Engine en los endpoints proporcionados.

Si se produce un error crítico (falla):

Error al ejecutar la acción "Get Virus Engine Agent Version". Motivo: {traceback}

 General

Ping

Descripción

Prueba la conectividad con Trellix ePO con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
null N/A N/A
Resultado de JSON
N/A

Quitar etiqueta

Descripción

Quitar una etiqueta de un endpoint en Trellix ePO. Entidades admitidas: nombre de host e IP.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la etiqueta Cadena N/A Especifica el nombre de la etiqueta que se debe quitar de los endpoints.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
N/A
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si se ha completado correctamente (is_success=true):

Se ha eliminado correctamente la etiqueta "{tag name}" de los siguientes endpoints

en Trellix ePO: {entity.identifier}

Si la etiqueta no forma parte del endpoint (is_success=true):

La etiqueta "{tag}" no formaba parte de los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se resuelve correctamente (is_success=true)

La acción no ha podido eliminar la etiqueta "{tag name}" de los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se resuelve correctamente (is_success=false):

No se ha quitado la etiqueta "{tag}" de los endpoints proporcionados.

Si se produce un error crítico (falla):

No se ha podido ejecutar la acción "Eliminar etiqueta". Motivo: {traceback}

Si la etiqueta no es válida (error)

Error al ejecutar la acción "Eliminar etiqueta". Motivo: no se ha encontrado la etiqueta "{tag name}" en Trellix ePO.

 General

Ejecutar análisis completo

Descripción

Ejecuta un análisis completo en los endpoints proporcionados en Trellix ePO. Entidades admitidas: nombre de host e IP.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la tarea Cadena Análisis bajo demanda: análisis completo Especifica qué tarea se debe ejecutar para obtener un análisis completo.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
RunTask_Status N/A N/A
Resultado de JSON
{
"status": "success" or "failure"
}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si se ha completado correctamente para uno:

Se ha completado correctamente un análisis completo basado en la tarea "{task name}" en los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se resuelve correctamente en uno de los casos:

No se ha podido ejecutar un análisis completo basado en la tarea "{task name}" en los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se ha completado correctamente:

No se ha realizado un análisis completo en los endpoints proporcionados.

Si se produce un error crítico (falla):

Error al ejecutar la acción "Ejecutar análisis completo". Motivo: {error traceback}

Si no se encuentra la tarea (error):

Error al ejecutar la acción "Ejecutar análisis completo". Motivo: No se ha encontrado la tarea "{task name}" en Trellix ePO. Comprueba la ortografía.

 General

Actualizar McAfee Agent

Descripción

Actualiza McAfee Agent en los endpoints proporcionados en Trellix ePO. Tarea para Windows: DAT_Update_Windows_CWS. Tarea para Linux: DAT_Update_Linux_CWS. Entidades admitidas: nombre de host e IP.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la tarea Cadena DAT_Update_Windows_CWS Especifica qué tarea se debe ejecutar para actualizar McAfee Agent. El valor predeterminado en Windows es DAT_Update_Windows_CWS. En Linux, es DAT_Update_Linux_CWS

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
Update_Status N/A N/A
Resultado de JSON
{
"status": "success" or "failure"
}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si se ha completado correctamente para uno:

Se han actualizado correctamente los agentes en función de la tarea "{task name}" en los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se resuelve correctamente en uno de los casos:

Action no ha podido actualizar el agente en función de la tarea "{task name}" en los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se ha completado correctamente:

No se ha actualizado ningún agente.

Si se produce un error crítico (falla):

Error al ejecutar la acción "Actualizar McAfee Agent". Motivo: {error traceback}

Si no se encuentra la tarea (error):

Error al ejecutar la acción "Actualizar McAfee Agent". Motivo: No se ha encontrado la tarea "{task name}" en Trellix ePO. Comprueba la ortografía.

 General

Conector

Conector de amenazas de McAfee EPO

Descripción

Extrae eventos de la tabla EPOEvents a Google SecOps. La lista de permitidas funciona con nombres de analizadores.

Configurar el conector McAfee EPO - Threats en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del campo de producto Cadena Nombre del producto Introduce el nombre del campo de origen para obtener el nombre del campo de producto.
Nombre del campo de evento Cadena EPOEvents_ThreatType Introduzca el nombre del campo de origen para obtener el nombre del campo de evento.
Nombre del campo de entorno Cadena "" No

Describe el nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado.
Patrón de regex de entorno Cadena .* No

Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno".

El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios.

Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado.
Tiempo de espera de secuencia de comandos (segundos) Entero 180 Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API Cadena http://x.x.x.x:8443/remote/ Raíz de la API de la instancia de Trellix ePO.
Nombre de usuario Cadena N/A Nombre de usuario de la instancia de Trellix ePO.
Contraseña Contraseña Contraseña de la instancia de Trellix ePO.
Nombre del grupo Cadena No Si se proporciona, el conector solo obtendrá amenazas de los endpoints que formen parte de ese grupo.
Número máximo de horas hacia atrás Entero 1 No Número de horas desde las que se deben obtener los eventos.
Número máximo de eventos que se van a obtener Entero 10 No Número de eventos que se procesarán por cada iteración del conector. Valor predeterminado: 10.
Gravedad mínima que se va a obtener Cadena Medio No

Gravedad más baja de los eventos que se van a obtener. De forma predeterminada, el conector ingerirá todos los eventos. Valores posibles:

Info, Low, Medium, High, Critical.
Usar la lista blanca como lista negra Casilla Marcada Si está habilitada, la lista de permitidos se usará como lista de denegados.
Verificar SSL Casilla Desmarcada Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Trellix ePO es válido.
Archivo de certificado de AC Cadena N/A Falso Archivo de certificado de CA codificado en Base64.
Dirección del servidor proxy Cadena N/A No Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy Cadena N/A No Nombre de usuario del proxy para autenticarse.
Contraseña del proxy Contraseña No La contraseña del proxy para autenticarte.

Reglas de conectores

Compatibilidad con proxy

El conector admite proxies.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.