McAfee ePO
Versión de la integración: 31.0
Configura la integración de McAfee ePO en Google Security Operations
Configura la integración de McAfee ePO con un certificado de CA
Si es necesario, puedes verificar tu conexión con un archivo de certificado de CA.
Antes de comenzar, asegúrate de tener lo siguiente:
- El archivo del certificado de la CA
- La versión más reciente de la integración de McAfee ePO
Para configurar la integración con un certificado de CA, completa los siguientes pasos:
- Analiza tu archivo de certificado de CA en una cadena Base64.
- Abre la página de parámetros de configuración de la integración.
- Inserta la cadena en el campo Archivo de certificado de CA.
- Para probar que la integración se configuró correctamente, selecciona la casilla de verificación Verificar SSL y haz clic en Probar.
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
---|---|---|---|---|
Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
Descripción | String | N/A | No | Es la descripción de la instancia. |
Dirección del servidor | String | https://<ServerAddress>:8443/remote/ | Sí | Dirección del servidor de Trellix ePO. Ejemplo: https://127.0.0.1:8443/remote/ |
Nombre de usuario | String | N/A | Sí | Nombre de usuario para la autenticación del servidor. |
Contraseña | Contraseña | N/A | Sí | Es la contraseña para la autenticación del servidor. |
Nombre del grupo | String | N/A | No | Es el nombre del grupo. |
Archivo de certificado de CA: Se analiza en una cadena Base64 | String | N/A | No | N/A |
Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Agregar etiqueta
Descripción
Agrega una etiqueta a un extremo en Trellix ePO. Nota: Solo puedes aplicar etiquetas que existan en el sistema. Entidades admitidas: Nombre de host, IP.
Parámetros
Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Nombre de la etiqueta | String | N/A | Sí | Especifica el nombre de la etiqueta que se debe agregar a los extremos. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | Si el éxito para uno (is_success=true): Se agregó correctamente la etiqueta "{nombre de la etiqueta}" a los siguientes extremos en Trellix ePO: {entity.identifier} Si la etiqueta ya forma parte del extremo (is_success=true): La etiqueta “{tag}” ya formaba parte de los siguientes extremos en Trellix ePO: {entity.identifier} Si no se logra el éxito para uno (is_success=true) La acción no pudo agregar la etiqueta "{tag name}" a los siguientes extremos en Trellix ePO: {entity.identifier} Si no se completó correctamente para todos (is_success=false): No se agregó la etiqueta "{tag} a los extremos proporcionados". Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Agregar etiqueta". Motivo: {traceback} Si la etiqueta no es válida (falla) Se produjo un error al ejecutar la acción "Add Tag". El motivo es que no se encontró la etiqueta "{tag name}" en Trellix ePO. |
General |
Compara los DAT del servidor y del agente
Descripción
Recupera la información de DAT del servidor y del agente de los extremos en Trellix ePO. Entidades admitidas: Nombre de host, IP.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
---|---|
Alert.DstPort | Devuelve si existe en el resultado JSON. |
Rule.msg | Devuelve si existe en el resultado JSON. |
Alert.IPSIDAlertID | Devuelve si existe en el resultado JSON. |
Alert.SrcIP | Devuelve si existe en el resultado JSON. |
Alert.LastTime | Devuelve si existe en el resultado JSON. |
Alert.Protocol | Devuelve si existe en el resultado JSON. |
Alert.SrcPort | Devuelve si existe en el resultado JSON. |
Alert.DstIP | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
null | N/A | N/A |
Resultado de JSON
{
"server_version": {server_version}
"dat_version": {dat_version}
"equal": true → if server_version == dat_version, else false
}
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | si el éxito de uno Se recuperó correctamente la información de DAT del servidor y del agente de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para uno La acción no pudo recuperar la información de DAT del servidor y del agente de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para todos No se encontró información sobre el DAT del servidor y del agente en los extremos proporcionados. Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Compare Server and Agent DAT". Motivo: {traceback} |
General |
Obtén información del agente
Descripción
Recupera información sobre los agentes del extremo desde Trellix ePO. Entidades admitidas: Nombre de host, IP.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
---|---|
EPO_LastUpdate | Devuelve si existe en el resultado JSON. |
EPO_ManagedState | Devuelve si existe en el resultado JSON. |
EPO_Tags | Devuelve si existe en el resultado JSON. |
EPO_ExcludedTags | Devuelve si existe en el resultado JSON. |
EPO_AgentVersion | Devuelve si existe en el resultado JSON. |
EPO_AgentGUID | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}
]
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | Si el éxito para uno (is_success=true): Se recuperó correctamente la información del agente sobre los siguientes extremos en Trellix ePO: {entity.identifier} Si no se logra el éxito para uno (is_success=true) La acción no pudo recuperar la información del agente sobre los siguientes extremos en Trellix ePO: {entity.identifier} Si no se completó correctamente para todos (is_success=false): No se encontró información de la agenda para los hosts proporcionados. Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Get Agent Information". Motivo: {traceback} |
General |
Obtener la versión de DAT
Descripción
Recupera la información de DAT de los endpoints en Trellix ePO. Entidades admitidas: Nombre de host, IP.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
Versión de datos | N/A | N/A |
Resultado de JSON
{
"DAT_version": {DAT version}
}
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | si el éxito de uno Se recuperó correctamente la información de DAT de los siguientes endpoints en Trellix ePO: {entity.identifier} si no se completó correctamente para uno La acción no pudo recuperar la información de DAT de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para todos No se encontró información sobre la DAT en los extremos proporcionados. Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Get Dat Version". Motivo: {traceback} |
General |
Obtén eventos para el hash
Descripción
Recupera información sobre eventos relacionados con hashes. Nota: Solo se admiten hashes MD5.
Parámetros
Name | Tipo | Valor predeterminado | Is Mandatory | Descripción |
---|---|---|---|---|
Recupera eventos de la tabla EPExtendedEvent | Casilla de verificación | Desmarcado | No | Si está habilitada, la acción también usará la tabla "EPExtendedEvent" para encontrar información sobre los hashes. |
Marcar como sospechoso | Casilla de verificación | Sí | Falso | Si está habilitada, la acción marcará como sospechosos todos los hashes para los que se encontraron eventos. |
Crear estadística | Casilla de verificación | No | Falso | Si está habilitada, la acción creará una estadística que contendrá información sobre qué hashes tienen eventos asociados. |
Campos que se devolverán | CSV | EPOEvents.ThreatName, |
Falso | Especifica qué campos se deben devolver. Si no se especifica nada, la acción devolverá todos los campos disponibles. |
Campo de orden | String | N/A | Falso | Especifica qué campo se debe usar para ordenar los resultados. |
Orden de clasificación | DDL | ASC Valores posibles: ASC DESC |
Falso | Especifica qué orden de clasificación se debe aplicar a la búsqueda. |
Período | DDL | Última hora Valores posibles: Última hora Últimas 6 horas Últimas 24 horas Última semana Último mes Personalizado |
Falso | Especifica un período para los eventos. Si seleccionas "Personalizado", también debes proporcionar la "Hora de inicio". |
Hora de inicio | String | N/A | Falso | Especifica la hora de inicio de los eventos. Este parámetro es obligatorio si se selecciona "Personalizado" para el parámetro "Período". Formato: ISO 8601 |
Hora de finalización | String | N/A | Falso | Especifica la hora de finalización de los eventos. Formato: ISO 8601. Si no se proporciona nada y se selecciona "Personalizado" para el parámetro "Período", este parámetro usará la hora actual. |
Cantidad máxima de eventos para devolver | Número entero | 50 | Falso | Especifica la cantidad de eventos que se devolverán. El valor predeterminado es 50. |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
---|---|
EPOEvents.ThreatCategory | Devuelve si existe en el resultado JSON. |
EPOEvents.TargetUserName | Devuelve si existe en el resultado JSON. |
EPOEvents.TargetPort | Devuelve si existe en el resultado JSON. |
EPOEvents.TargetFileName | Devuelve si existe en el resultado JSON. |
EPOEvents.TargetIPV4 | Devuelve si existe en el resultado JSON. |
EPO_AgentGUID | Devuelve si existe en el resultado JSON. |
Estadísticas
Se creará una estadística para los eventos que se encuentren en Trellix ePO para el hash actual.
Resultado de JSON
[
{
"EntityResult":
[
{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}
]
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | Si la operación se realiza correctamente y hay resultados disponibles: (is_success=true) "Se devolvieron correctamente los eventos disponibles para los siguientes hashes en Trellix ePO: {entity.identifier}" Si no se completó correctamente para uno: (is_success=true) "La acción no pudo encontrar eventos para los siguientes hashes en Trellix ePO: {entity.identifier}". Si no se completó correctamente para todos (is_success=false): "No se encontraron eventos para los extremos proporcionados en Trellix ePO". Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error (falla): "Error al ejecutar la acción "Get Endpoint Threats". Reason: {0}''.format(error.Stacktrace) Si hay un error en la respuesta (falla): "Se produjo un error al ejecutar la acción "Ejecutar consulta de entidad". Reason: {0}''.format( response text) Si la hora de inicio está vacía, cuando el "Período" es "Personalizado" (falla): "Error al ejecutar la acción "Get Endpoint Threats". Motivo: Se debe proporcionar la "Hora de inicio" cuando se selecciona "Personalizado" en el parámetro "Intervalo"." |
General |
Obtener el estado de las IPs del host
Descripción
Recupera la información del IPS de los extremos en Trellix ePO. Entidades admitidas: Nombre de host, IP.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
is_status_received | Verdadero/Falso | is_status_received:False |
Resultado de JSON
{
"IPS_status": {IPS_status}
}
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | si el éxito de uno Se recuperó correctamente la información de IPS de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para uno La acción no pudo recuperar la información de IPS de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para todos No se encontró información sobre los IPS en los extremos proporcionados. Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Get Host IPS Status". Motivo: {traceback} |
General |
Obtén el estado de las IPs de la red del host
Descripción
Recupera la información de IPS de red de los extremos en Trellix ePO. Entidades admitidas: Nombre de host, IP.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
is_status_received | Verdadero/Falso | is_status_received:False |
Resultado de JSON
{
"Network_IPS_status": {Network_IPS_status}
}
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | si el éxito de uno Se recuperó correctamente la información del IPS de red de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para uno La acción no pudo recuperar la información de IPS de red de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para todos No se encontró información sobre el IPS de red en los extremos proporcionados. Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Get Host Network IPS Status". Motivo: {traceback} |
General |
Obtén la hora de la última comunicación
Descripción
Recupera información sobre la última hora de comunicación de los extremos en Trellix ePO. Entidades admitidas: Nombre de host, IP.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
isSuccess | Verdadero/Falso | isSuccess:False |
Resultado de JSON
{
"last_communication_time": {last_communication_time}
}
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | si el éxito de uno Se recuperó correctamente la información de la última hora de comunicación de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para uno La acción no pudo recuperar la información de la última hora de comunicación de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para todos No se encontró información sobre la última hora de comunicación en los extremos proporcionados. Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Get Last Communication Time". Motivo: {traceback} |
General |
Obtener la versión del agente de McAfee ePO
Descripción
Recupera información sobre la versión del agente de los extremos en Trellix ePO. Entidades admitidas: Nombre de host, IP.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
Versión del agente de McAfee | N/A | N/A |
Resultado de JSON
{
"ePO_agent_version": ePO_agent_version
}
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | si el éxito de uno Se recuperó correctamente la información de la versión del agente de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para uno La acción no pudo recuperar la información de la versión del agente de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para todos No se encontró información sobre la versión del agente en los extremos proporcionados. Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Get Last Communication Time". Motivo: {traceback} |
General |
Obtén información del sistema
Descripción
Devuelve información del sistema sobre los extremos de Trellix ePO. Entidades admitidas: Nombre de host, IP.
Parámetros
Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Crear estadística | Casilla de verificación | Casilla de verificación marcada | Si está habilitada, la acción creará una estadística que contendrá información sobre el extremo. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
---|---|
FreeDiskSpace | Devuelve si existe en el resultado JSON. |
UserName | Devuelve si existe en el resultado JSON. |
DomainName | Devuelve si existe en el resultado JSON. |
LastAgentHandler | Devuelve si existe en el resultado JSON. |
IPV4x | Devuelve si existe en el resultado JSON. |
OSBitMode | Devuelve si existe en el resultado JSON. |
IPV6 | Devuelve si existe en el resultado JSON. |
OSType | Devuelve si existe en el resultado JSON. |
SysvolFreeSpace | Devuelve si existe en el resultado JSON. |
IPHostName | Devuelve si existe en el resultado JSON. |
CPUSerialNum | Devuelve si existe en el resultado JSON. |
IPSubnetMask | Devuelve si existe en el resultado JSON. |
SysvolTotalSpace | Devuelve si existe en el resultado JSON. |
IPSubnet | Devuelve si existe en el resultado JSON. |
Descripción | Devuelve si existe en el resultado JSON. |
FreeMemory | Devuelve si existe en el resultado JSON. |
CPUSpeed | Devuelve si existe en el resultado JSON. |
SubnetMask | Devuelve si existe en el resultado JSON. |
IPAddress | Devuelve si existe en el resultado JSON. |
DefaultLangID | Devuelve si existe en el resultado JSON. |
OSPlatform | Devuelve si existe en el resultado JSON. |
NetAddress | Devuelve si existe en el resultado JSON. |
TotalDiskSpace | Devuelve si existe en el resultado JSON. |
SubnetAddress | Devuelve si existe en el resultado JSON. |
NumOfCPU | Devuelve si existe en el resultado JSON. |
TimeZone | Devuelve si existe en el resultado JSON. |
SystemDescription | Devuelve si existe en el resultado JSON. |
Vdi | Devuelve si existe en el resultado JSON. |
OSBuildNum | Devuelve si existe en el resultado JSON. |
OSVersion | Devuelve si existe en el resultado JSON. |
IsPortable | Devuelve si existe en el resultado JSON. |
TotalPhysicalMemory | Devuelve si existe en el resultado JSON. |
IPXAddress | Devuelve si existe en el resultado JSON. |
UserProperty7 | Devuelve si existe en el resultado JSON. |
ParentID | Devuelve si existe en el resultado JSON. |
CPUType | Devuelve si existe en el resultado JSON. |
Estadísticas
Resultado de JSON
[
{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": " ",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": " ",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": " ",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": " ",
"UserProperty6": " ",
"UserProperty5": " ",
"UserProperty4": " ",
"UserProperty3": " ",
"UserProperty2": " ",
"UserProperty1": " ",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": " "
},
"Entity": "1.1.1.1"
}
]
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | Si la operación se realiza correctamente para uno (is_success=true): Se recuperó correctamente la información del sistema sobre los siguientes extremos de Trellix ePO: {entity.identifier} Si no se realiza correctamente para uno (is_success=true): La acción no pudo recuperar información del sistema sobre los siguientes extremos de Trellix ePO: {entity.identifier} Si no se completó correctamente para todos (is_success=false) No se encontró información del sistema sobre los extremos proporcionados. Si se trata de un error crítico, haz lo siguiente: Se produjo un error al ejecutar la acción "Obtener información del sistema". Motivo: {error.traceback} |
General |
Obtén la versión del agente de Virus Engine
Descripción
Recupera información de la versión del agente de Virus Engine de los extremos en McAfee ePO. Entidades admitidas: Nombre de host, IP.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
Versión del agente del motor de virus | N/A | N/A |
Resultado de JSON
{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | si el éxito de uno Se recuperó correctamente la información de la versión del agente de Virus Engine de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para uno La acción no pudo recuperar la información de la versión del agente de Virus Engine de los siguientes extremos en Trellix ePO: {entity.identifier} si no se completó correctamente para todos No se encontró información sobre la versión del agente de Virus Engine en los extremos proporcionados. Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Get Virus Engine Agent Version". Motivo: {traceback} |
General |
Ping
Descripción
Prueba la conectividad con Trellix ePO con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
null | N/A | N/A |
Resultado de JSON
N/A
Quitar etiqueta
Descripción
Quita una etiqueta de un extremo en Trellix ePO. Entidades admitidas: Nombre de host, IP.
Parámetros
Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Nombre de la etiqueta | String | N/A | Sí | Especifica el nombre de la etiqueta que se debe quitar de los extremos. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | Si el éxito para uno (is_success=true): Se quitó correctamente la etiqueta “{nombre de la etiqueta}” de los siguientes extremos en Trellix ePO: {entity.identifier} Si la etiqueta no forma parte del extremo (is_success=true): La etiqueta “{tag}” no formaba parte de los siguientes extremos en Trellix ePO: {entity.identifier} Si no se logra el éxito para uno (is_success=true) La acción no pudo quitar la etiqueta "{tag name}" de los siguientes extremos en Trellix ePO: {entity.identifier} Si no se completó correctamente para todos (is_success=false): La etiqueta "{tag} no se quitó de los extremos proporcionados". Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Quitar etiqueta". Motivo: {traceback} Si la etiqueta no es válida (falla) Se produjo un error al ejecutar la acción "Quitar etiqueta". El motivo es que no se encontró la etiqueta "{nombre de la etiqueta}" en Trellix ePO. |
General |
Ejecutar análisis completo
Descripción
Ejecuta un análisis completo en los extremos proporcionados en Trellix ePO. Entidades admitidas: Nombre de host, IP.
Parámetros
Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Nombre de la tarea | String | Análisis a pedido: Análisis completo | Sí | Especifica qué tarea se debe ejecutar para obtener un análisis completo. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
RunTask_Status | N/A | N/A |
Resultado de JSON
{
"status": "success" or "failure"
}
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | Si la operación se realiza correctamente para uno de los casos, haz lo siguiente: Se ejecutó correctamente el análisis completo basado en la tarea "{task name}" en los siguientes endpoints de Trellix ePO: {entity.identifier} Si no se realiza correctamente para uno de los casos, haz lo siguiente: No se pudo ejecutar el análisis completo según la tarea "{task name}" en los siguientes endpoints de Trellix ePO: {entity.identifier} Si no se completó correctamente para todos, haz lo siguiente: No se ejecutó el análisis completo en los extremos proporcionados. Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Ejecutar análisis completo". Motivo: {error traceback} Si no se encuentra la tarea (error): Se produjo un error al ejecutar la acción "Ejecutar análisis completo". Motivo: No se encontró la tarea "{task name}" en Trellix ePO. Revisa la ortografía. |
General |
Actualiza McAfee Agent
Descripción
Actualiza el agente de McAfee en los extremos proporcionados en Trellix ePO. Tarea para Windows: DAT_Update_Windows_CWS. Tarea para Linux: DAT_Update_Linux_CWS. Entidades admitidas: Nombre de host, IP.
Parámetros
Parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
---|---|---|---|---|
Nombre de la tarea | String | DAT_Update_Windows_CWS | Sí | Especifica qué tarea se debe ejecutar para actualizar McAfee Agent. El valor predeterminado para Windows es DAT_Update_Windows_CWS. En Linux, es DAT_Update_Linux_CWS. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
---|---|---|
Update_Status | N/A | N/A |
Resultado de JSON
{
"status": "success" or "failure"
}
Muro de casos
Tipo de resultado | Valor o descripción | Tipo |
---|---|---|
Mensaje de salida* | Si la operación se realiza correctamente para uno de los casos, haz lo siguiente: Se actualizaron correctamente los agentes según la tarea "{task name}" en los siguientes extremos de Trellix ePO: {entity.identifier} Si no se realiza correctamente para uno de los casos, haz lo siguiente: No se pudo actualizar el agente según la tarea "{task name}" en los siguientes extremos de Trellix ePO: {entity.identifier} Si no se completó correctamente para todos, haz lo siguiente: No se actualizó ninguno de los agentes. Si hay un error crítico (falla): Se produjo un error al ejecutar la acción "Actualizar McAfee Agent". Motivo: {error traceback} Si no se encuentra la tarea (error): Se produjo un error al ejecutar la acción "Actualizar McAfee Agent". Motivo: No se encontró la tarea "{task name}" en Trellix ePO. Revisa la ortografía. |
General |
Conector
Conector de McAfee EPO - Threats
Descripción
Extraer eventos de la tabla EPOEvents a Google SecOps La lista de entidades permitidas funciona con los nombres de los analizadores.
Configura el conector de amenazas de McAfee EPO en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
---|---|---|---|---|
Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
Nombre del campo del evento | String | EPOEvents_ThreatType | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
Raíz de la API | String | http://x.x.x.x:8443/remote/ | Sí | Es la raíz de la API de la instancia de Trellix ePO. |
Nombre de usuario | String | N/A | Sí | Nombre de usuario de la instancia de Trellix ePO. |
Contraseña | Contraseña | Sí | Contraseña de la instancia de Trellix ePO. | |
Nombre del grupo | String | No | Si se proporciona, el conector solo recuperará amenazas de los extremos que forman parte de ese grupo. | |
Horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperan los eventos. |
Cantidad máxima de eventos para recuperar | Número entero | 10 | No | Cantidad de eventos que se procesarán por iteración del conector. Cantidad predeterminada: 10. |
Gravedad más baja que se recuperará | String | Medio | No | Es la gravedad más baja de los eventos que se recuperarán. De forma predeterminada, el conector transferirá todos los eventos. Valores posibles: Info, Low, Medium, High, Critical. |
Usar la lista blanca como lista negra | Casilla de verificación | Marcado | Sí | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Trellix ePO sea válido. |
Archivo del certificado de CA | String | N/A | Falso | Archivo de certificado de CA codificado en Base64. |
Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
Contraseña de proxy | Contraseña | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.