McAfee ePO

Versión de la integración: 31.0

Configura la integración de McAfee ePO en Google Security Operations

Configura la integración de McAfee ePO con un certificado de CA

Si es necesario, puedes verificar tu conexión con un archivo de certificado de CA.

Antes de comenzar, asegúrate de tener lo siguiente:

  • El archivo del certificado de la CA
  • La versión más reciente de la integración de McAfee ePO

Para configurar la integración con un certificado de CA, completa los siguientes pasos:

  1. Analiza tu archivo de certificado de CA en una cadena Base64.
  2. Abre la página de parámetros de configuración de la integración.
  3. Inserta la cadena en el campo Archivo de certificado de CA.
  4. Para probar que la integración se configuró correctamente, selecciona la casilla de verificación Verificar SSL y haz clic en Probar.

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio. Descripción
Nombre de la instancia String N/A No Nombre de la instancia para la que deseas configurar la integración.
Descripción String N/A No Es la descripción de la instancia.
Dirección del servidor String https://<ServerAddress>:8443/remote/ Dirección del servidor de Trellix ePO. Ejemplo: https://127.0.0.1:8443/remote/
Nombre de usuario String N/A Nombre de usuario para la autenticación del servidor.
Contraseña Contraseña N/A Es la contraseña para la autenticación del servidor.
Nombre del grupo String N/A No Es el nombre del grupo.
Archivo de certificado de CA: Se analiza en una cadena Base64 String N/A No N/A
Ejecutar de forma remota Casilla de verificación Desmarcado No Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Agregar etiqueta

Descripción

Agrega una etiqueta a un extremo en Trellix ePO. Nota: Solo puedes aplicar etiquetas que existan en el sistema. Entidades admitidas: Nombre de host, IP.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la etiqueta String N/A Especifica el nombre de la etiqueta que se debe agregar a los extremos.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
N/A
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si el éxito para uno (is_success=true):

Se agregó correctamente la etiqueta "{nombre de la etiqueta}" a los siguientes extremos en

Trellix ePO: {entity.identifier}

Si la etiqueta ya forma parte del extremo (is_success=true):

La etiqueta “{tag}” ya formaba parte de los siguientes extremos en Trellix ePO: {entity.identifier}

Si no se logra el éxito para uno (is_success=true)

La acción no pudo agregar la etiqueta "{tag name}" a los siguientes extremos en Trellix ePO: {entity.identifier}

Si no se completó correctamente para todos (is_success=false):

No se agregó la etiqueta "{tag} a los extremos proporcionados".

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Agregar etiqueta". Motivo: {traceback}

Si la etiqueta no es válida (falla)

Se produjo un error al ejecutar la acción "Add Tag". El motivo es que no se encontró la etiqueta "{tag name}" en Trellix ePO.

General

Compara los DAT del servidor y del agente

Descripción

Recupera la información de DAT del servidor y del agente de los extremos en Trellix ePO. Entidades admitidas: Nombre de host, IP.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: Cuándo aplicar
Alert.DstPort Devuelve si existe en el resultado JSON.
Rule.msg Devuelve si existe en el resultado JSON.
Alert.IPSIDAlertID Devuelve si existe en el resultado JSON.
Alert.SrcIP Devuelve si existe en el resultado JSON.
Alert.LastTime Devuelve si existe en el resultado JSON.
Alert.Protocol Devuelve si existe en el resultado JSON.
Alert.SrcPort Devuelve si existe en el resultado JSON.
Alert.DstIP Devuelve si existe en el resultado JSON.
Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
null N/A N/A
Resultado de JSON
{

"server_version": {server_version}

"dat_version": {dat_version}

"equal": true  if server_version == dat_version, else false

}
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se recuperó correctamente la información de DAT del servidor y del agente de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para uno

La acción no pudo recuperar la información de DAT del servidor y del agente de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para todos

No se encontró información sobre el DAT del servidor y del agente en los extremos proporcionados.

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Compare Server and Agent DAT". Motivo: {traceback}

General

Obtén información del agente

Descripción

Recupera información sobre los agentes del extremo desde Trellix ePO. Entidades admitidas: Nombre de host, IP.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: Cuándo aplicar
EPO_LastUpdate Devuelve si existe en el resultado JSON.
EPO_ManagedState Devuelve si existe en el resultado JSON.
EPO_Tags Devuelve si existe en el resultado JSON.
EPO_ExcludedTags Devuelve si existe en el resultado JSON.
EPO_AgentVersion Devuelve si existe en el resultado JSON.
EPO_AgentGUID Devuelve si existe en el resultado JSON.
Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "EntityResult":
        {
            "LastUpdate": "2019-01-22T13:04:49+02:00",
            "ManagedState": "1",
            "Tags": "Server, Workstation",
            "ExcludedTags": "",
            "AgentVersion": "1.1.1.1",
            "AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
        },
        "Entity": "1.1.1.1"
    }
]
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si el éxito para uno (is_success=true):

Se recuperó correctamente la información del agente sobre los siguientes extremos en Trellix ePO: {entity.identifier}

Si no se logra el éxito para uno (is_success=true)

La acción no pudo recuperar la información del agente sobre los siguientes extremos en Trellix ePO: {entity.identifier}

Si no se completó correctamente para todos (is_success=false):

No se encontró información de la agenda para los hosts proporcionados.

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Get Agent Information". Motivo: {traceback}

General

Obtener la versión de DAT

Descripción

Recupera la información de DAT de los endpoints en Trellix ePO. Entidades admitidas: Nombre de host, IP.

Parámetros

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
Versión de datos N/A N/A
Resultado de JSON
{
"DAT_version": {DAT version}
}
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se recuperó correctamente la información de DAT de los siguientes endpoints en Trellix ePO: {entity.identifier}

si no se completó correctamente para uno

La acción no pudo recuperar la información de DAT de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para todos

No se encontró información sobre la DAT en los extremos proporcionados.

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Get Dat Version". Motivo: {traceback}

General

Obtén eventos para el hash

Descripción

Recupera información sobre eventos relacionados con hashes. Nota: Solo se admiten hashes MD5.

Parámetros

Name Tipo Valor predeterminado Is Mandatory Descripción
Recupera eventos de la tabla EPExtendedEvent Casilla de verificación Desmarcado No Si está habilitada, la acción también usará la tabla "EPExtendedEvent" para encontrar información sobre los hashes.
Marcar como sospechoso Casilla de verificación Falso Si está habilitada, la acción marcará como sospechosos todos los hashes para los que se encontraron eventos.
Crear estadística Casilla de verificación No Falso Si está habilitada, la acción creará una estadística que contendrá información sobre qué hashes tienen eventos asociados.
Campos que se devolverán CSV

EPOEvents.ThreatName,
EPOEvents.ThreatType,
EPOEvents.ThreatActionTaken,
EPOEvents.ThreatHandled,
EPOEvents.ThreatCategory
,EPOEvents.TargetHostName,
EPOEvents.TargetUserName,
EPOEvents.TargetFileName,
EPOEvents.TargetProcessName,
EPOEvents.TargetPort,EPOEvents.
TargetProtocol,EPOEvents.
ThreatCategory,EPOEvents.
TargetIPV4,EPOEvents.
SourceHostName,EPOEvents.
SourceIPV4,EPOEvents.
SourceUserName,EPOEvents.
SourceProcessName,EPOEvents.
SourceURL

Falso Especifica qué campos se deben devolver. Si no se especifica nada, la acción devolverá todos los campos disponibles.
Campo de orden String N/A Falso Especifica qué campo se debe usar para ordenar los resultados.
Orden de clasificación DDL

ASC

Valores posibles:

ASC

DESC

Falso Especifica qué orden de clasificación se debe aplicar a la búsqueda.
Período DDL

Última hora

Valores posibles:

Última hora

Últimas 6 horas

Últimas 24 horas

Última semana

Último mes

Personalizado

Falso Especifica un período para los eventos. Si seleccionas "Personalizado", también debes proporcionar la "Hora de inicio".
Hora de inicio String N/A Falso Especifica la hora de inicio de los eventos. Este parámetro es obligatorio si se selecciona "Personalizado" para el parámetro "Período". Formato: ISO 8601
Hora de finalización String N/A Falso Especifica la hora de finalización de los eventos. Formato: ISO 8601. Si no se proporciona nada y se selecciona "Personalizado" para el parámetro "Período", este parámetro usará la hora actual.
Cantidad máxima de eventos para devolver Número entero 50 Falso Especifica la cantidad de eventos que se devolverán. El valor predeterminado es 50.

Ejecutar en

Esta acción se ejecuta en la entidad Filehash.

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: Cuándo aplicar
EPOEvents.ThreatCategory Devuelve si existe en el resultado JSON.
EPOEvents.TargetUserName Devuelve si existe en el resultado JSON.
EPOEvents.TargetPort Devuelve si existe en el resultado JSON.
EPOEvents.TargetFileName Devuelve si existe en el resultado JSON.
EPOEvents.TargetIPV4 Devuelve si existe en el resultado JSON.
EPO_AgentGUID Devuelve si existe en el resultado JSON.
Estadísticas

Se creará una estadística para los eventos que se encuentren en Trellix ePO para el hash actual.

Resultado de JSON
[
    {
        "EntityResult":
        [
            {
                "EPOEvents.ThreatCategory": "av.detect",
                "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
                "EPOEvents.TargetPort": "None",
                "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
                "EPOEvents.TargetIPV4": -1979711347,
                "EPOEvents.ThreatName": "EICAR test file",
                "EPOEvents.SourceUserName": "None",
                "EPOEvents.TargetProcessName": "None",
                "EPOEvents.SourceProcessName": "None",
                "EPOEvents.ThreatType": "test",
                "EPOEvents.SourceIPV4": -1979711347,
                "EPOEvents.TargetProtocol": "None",
                "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
                "EPOEvents.SourceURL": "None",
                "EPOEvents.ThreatActionTaken": "deleted",
                "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
                "EPOEvents.ThreatHandled": "True",
                "EPOEvents.SourceHostName": "_"
            }, {
                "EPOEvents.ThreatCategory": "av.detect",
                "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
                "EPOEvents.TargetPort": "None",
                "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
                "EPOEvents.TargetIPV4": -1979711347,
                "EPOEvents.ThreatName": "EICAR test file",
                "EPOEvents.SourceUserName": "None",
                "EPOEvents.TargetProcessName": "None",
                "EPOEvents.SourceProcessName": "None",
                "EPOEvents.ThreatType": "test",
                "EPOEvents.SourceIPV4": -1979711347,
                "EPOEvents.TargetProtocol": "None",
                "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
                "EPOEvents.SourceURL": "None",
                "EPOEvents.ThreatActionTaken": "deleted",
                "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
                "EPOEvents.ThreatHandled": "True",
                "EPOEvents.SourceHostName": "_"
            }],
        "Entity": "44d88612fea8a8f36de82e1278abb02f"
    }
]
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si la operación se realiza correctamente y hay resultados disponibles: (is_success=true)

"Se devolvieron correctamente los eventos disponibles para los siguientes hashes en Trellix ePO: {entity.identifier}"

Si no se completó correctamente para uno: (is_success=true)

"La acción no pudo encontrar eventos para los siguientes hashes en Trellix ePO: {entity.identifier}".

Si no se completó correctamente para todos (is_success=false):

"No se encontraron eventos para los extremos proporcionados en Trellix ePO".

Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error (falla): "Error al ejecutar la acción "Get Endpoint Threats". Reason: {0}''.format(error.Stacktrace)

Si hay un error en la respuesta (falla): "Se produjo un error al ejecutar la acción "Ejecutar consulta de entidad". Reason: {0}''.format( response text)

Si la hora de inicio está vacía, cuando el "Período" es "Personalizado" (falla): "Error al ejecutar la acción "Get Endpoint Threats". Motivo: Se debe proporcionar la "Hora de inicio" cuando se selecciona "Personalizado" en el parámetro "Intervalo"."

General

Obtener el estado de las IPs del host

Descripción

Recupera la información del IPS de los extremos en Trellix ePO. Entidades admitidas: Nombre de host, IP.

Parámetros

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_status_received Verdadero/Falso is_status_received:False
Resultado de JSON
{
"IPS_status": {IPS_status}
}
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se recuperó correctamente la información de IPS de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para uno

La acción no pudo recuperar la información de IPS de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para todos

No se encontró información sobre los IPS en los extremos proporcionados.

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Get Host IPS Status". Motivo: {traceback}

General

Obtén el estado de las IPs de la red del host

Descripción

Recupera la información de IPS de red de los extremos en Trellix ePO. Entidades admitidas: Nombre de host, IP.

Parámetros

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_status_received Verdadero/Falso is_status_received:False
Resultado de JSON
{
"Network_IPS_status": {Network_IPS_status}
}
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se recuperó correctamente la información del IPS de red de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para uno

La acción no pudo recuperar la información de IPS de red de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para todos

No se encontró información sobre el IPS de red en los extremos proporcionados.

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Get Host Network IPS Status". Motivo: {traceback}

General

Obtén la hora de la última comunicación

Descripción

Recupera información sobre la última hora de comunicación de los extremos en Trellix ePO. Entidades admitidas: Nombre de host, IP.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
isSuccess Verdadero/Falso isSuccess:False
Resultado de JSON
{
"last_communication_time": {last_communication_time}
}
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se recuperó correctamente la información de la última hora de comunicación de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para uno

La acción no pudo recuperar la información de la última hora de comunicación de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para todos

No se encontró información sobre la última hora de comunicación en los extremos proporcionados.

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Get Last Communication Time". Motivo: {traceback}

General

Obtener la versión del agente de McAfee ePO

Descripción

Recupera información sobre la versión del agente de los extremos en Trellix ePO. Entidades admitidas: Nombre de host, IP.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
Versión del agente de McAfee N/A N/A
Resultado de JSON
{
"ePO_agent_version": ePO_agent_version
}
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se recuperó correctamente la información de la versión del agente de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para uno

La acción no pudo recuperar la información de la versión del agente de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para todos

No se encontró información sobre la versión del agente en los extremos proporcionados.

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Get Last Communication Time". Motivo: {traceback}

General

Obtén información del sistema

Descripción

Devuelve información del sistema sobre los extremos de Trellix ePO. Entidades admitidas: Nombre de host, IP.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Crear estadística Casilla de verificación Casilla de verificación marcada Si está habilitada, la acción creará una estadística que contendrá información sobre el extremo.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: Cuándo aplicar
FreeDiskSpace Devuelve si existe en el resultado JSON.
UserName Devuelve si existe en el resultado JSON.
DomainName Devuelve si existe en el resultado JSON.
LastAgentHandler Devuelve si existe en el resultado JSON.
IPV4x Devuelve si existe en el resultado JSON.
OSBitMode Devuelve si existe en el resultado JSON.
IPV6 Devuelve si existe en el resultado JSON.
OSType Devuelve si existe en el resultado JSON.
SysvolFreeSpace Devuelve si existe en el resultado JSON.
IPHostName Devuelve si existe en el resultado JSON.
CPUSerialNum Devuelve si existe en el resultado JSON.
IPSubnetMask Devuelve si existe en el resultado JSON.
SysvolTotalSpace Devuelve si existe en el resultado JSON.
IPSubnet Devuelve si existe en el resultado JSON.
Descripción Devuelve si existe en el resultado JSON.
FreeMemory Devuelve si existe en el resultado JSON.
CPUSpeed Devuelve si existe en el resultado JSON.
SubnetMask Devuelve si existe en el resultado JSON.
IPAddress Devuelve si existe en el resultado JSON.
DefaultLangID Devuelve si existe en el resultado JSON.
OSPlatform Devuelve si existe en el resultado JSON.
NetAddress Devuelve si existe en el resultado JSON.
TotalDiskSpace Devuelve si existe en el resultado JSON.
SubnetAddress Devuelve si existe en el resultado JSON.
NumOfCPU Devuelve si existe en el resultado JSON.
TimeZone Devuelve si existe en el resultado JSON.
SystemDescription Devuelve si existe en el resultado JSON.
Vdi Devuelve si existe en el resultado JSON.
OSBuildNum Devuelve si existe en el resultado JSON.
OSVersion Devuelve si existe en el resultado JSON.
IsPortable Devuelve si existe en el resultado JSON.
TotalPhysicalMemory Devuelve si existe en el resultado JSON.
IPXAddress Devuelve si existe en el resultado JSON.
UserProperty7 Devuelve si existe en el resultado JSON.
ParentID Devuelve si existe en el resultado JSON.
CPUType Devuelve si existe en el resultado JSON.
Estadísticas

imagen (1134)

Resultado de JSON
[
    {
        "EntityResult":
        {
            "FreeDiskSpace": "444316",
            "UserName": "Admin",
            "OSServicePackVer": " ",
            "DomainName": "WORKGROUP",
            "LastAgentHandler": "1",
            "IPV4x": "-1979711239",
            "OSBitMode": "1",
            "IPV6": "0:0:0:0:0:FFFF:A00:F9",
            "OSType": "Windows Server 2012 R2",
            "SysvolFreeSpace": "94782",
            "IPHostName": "McAfee-ePO",
            "CPUSerialNum": "N/A",
            "IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
            "SysvolTotalSpace": "161647",
            "IPSubnet": "0:0:0:0:0:FFFF:A00:0",
            "Description": "None",
            "FreeMemory": "1626767360",
            "CPUSpeed": "2400",
            "SubnetMask": " ",
            "IPAddress": "1.1.1.1",
            "DefaultLangID": "0409",
            "OSPlatform": "Server",
            "ComputerName": "MCAFEE-EPO",
            "OSOEMID": "00252-00112-26656-AA653",
            "NetAddress": "005056A56847",
            "TotalDiskSpace": "511646",
            "SubnetAddress": " ",
            "NumOfCPU": "4",
            "TimeZone": "Jerusalem Standard Time",
            "SystemDescription": "N/A",
            "Vdi": "0",
            "OSBuildNum": "9600",
            "OSVersion": "6.3",
            "IsPortable": "0",
            "TotalPhysicalMemory": "6441984000",
            "IPXAddress": "N/A",
            "UserProperty7": " ",
            "UserProperty6": " ",
            "UserProperty5": " ",
            "UserProperty4": " ",
            "UserProperty3": " ",
            "UserProperty2": " ",
            "UserProperty1": " ",
            "ParentID": "8",
            "CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
            "UserProperty8": " "
        },
        "Entity": "1.1.1.1"
    }
]
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si la operación se realiza correctamente para uno (is_success=true):

Se recuperó correctamente la información del sistema sobre los siguientes extremos de Trellix ePO: {entity.identifier}

Si no se realiza correctamente para uno (is_success=true):

La acción no pudo recuperar información del sistema sobre los siguientes extremos de Trellix ePO: {entity.identifier}

Si no se completó correctamente para todos (is_success=false)

No se encontró información del sistema sobre los extremos proporcionados.

Si se trata de un error crítico, haz lo siguiente:

Se produjo un error al ejecutar la acción "Obtener información del sistema". Motivo: {error.traceback}

General

Obtén la versión del agente de Virus Engine

Descripción

Recupera información de la versión del agente de Virus Engine de los extremos en McAfee ePO. Entidades admitidas: Nombre de host, IP.

Parámetros

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
Versión del agente del motor de virus N/A N/A
Resultado de JSON
{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

si el éxito de uno

Se recuperó correctamente la información de la versión del agente de Virus Engine de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para uno

La acción no pudo recuperar la información de la versión del agente de Virus Engine de los siguientes extremos en Trellix ePO: {entity.identifier}

si no se completó correctamente para todos

No se encontró información sobre la versión del agente de Virus Engine en los extremos proporcionados.

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Get Virus Engine Agent Version". Motivo: {traceback}

General

Ping

Descripción

Prueba la conectividad con Trellix ePO con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
null N/A N/A
Resultado de JSON
N/A

Quitar etiqueta

Descripción

Quita una etiqueta de un extremo en Trellix ePO. Entidades admitidas: Nombre de host, IP.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la etiqueta String N/A Especifica el nombre de la etiqueta que se debe quitar de los extremos.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
N/A
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si el éxito para uno (is_success=true):

Se quitó correctamente la etiqueta “{nombre de la etiqueta}” de los siguientes extremos

en Trellix ePO: {entity.identifier}

Si la etiqueta no forma parte del extremo (is_success=true):

La etiqueta “{tag}” no formaba parte de los siguientes extremos en Trellix ePO: {entity.identifier}

Si no se logra el éxito para uno (is_success=true)

La acción no pudo quitar la etiqueta "{tag name}" de los siguientes extremos en Trellix ePO: {entity.identifier}

Si no se completó correctamente para todos (is_success=false):

La etiqueta "{tag} no se quitó de los extremos proporcionados".

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Quitar etiqueta". Motivo: {traceback}

Si la etiqueta no es válida (falla)

Se produjo un error al ejecutar la acción "Quitar etiqueta". El motivo es que no se encontró la etiqueta "{nombre de la etiqueta}" en Trellix ePO.

General

Ejecutar análisis completo

Descripción

Ejecuta un análisis completo en los extremos proporcionados en Trellix ePO. Entidades admitidas: Nombre de host, IP.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la tarea String Análisis a pedido: Análisis completo Especifica qué tarea se debe ejecutar para obtener un análisis completo.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
RunTask_Status N/A N/A
Resultado de JSON
{
"status": "success" or "failure"
}
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si la operación se realiza correctamente para uno de los casos, haz lo siguiente:

Se ejecutó correctamente el análisis completo basado en la tarea "{task name}" en los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se realiza correctamente para uno de los casos, haz lo siguiente:

No se pudo ejecutar el análisis completo según la tarea "{task name}" en los siguientes endpoints de Trellix ePO: {entity.identifier}

Si no se completó correctamente para todos, haz lo siguiente:

No se ejecutó el análisis completo en los extremos proporcionados.

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Ejecutar análisis completo". Motivo: {error traceback}

Si no se encuentra la tarea (error):

Se produjo un error al ejecutar la acción "Ejecutar análisis completo". Motivo: No se encontró la tarea "{task name}" en Trellix ePO. Revisa la ortografía.

General

Actualiza McAfee Agent

Descripción

Actualiza el agente de McAfee en los extremos proporcionados en Trellix ePO. Tarea para Windows: DAT_Update_Windows_CWS. Tarea para Linux: DAT_Update_Linux_CWS. Entidades admitidas: Nombre de host, IP.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la tarea String DAT_Update_Windows_CWS Especifica qué tarea se debe ejecutar para actualizar McAfee Agent. El valor predeterminado para Windows es DAT_Update_Windows_CWS. En Linux, es DAT_Update_Linux_CWS.

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

  • Dirección IP
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
Update_Status N/A N/A
Resultado de JSON
{
"status": "success" or "failure"
}
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

Si la operación se realiza correctamente para uno de los casos, haz lo siguiente:

Se actualizaron correctamente los agentes según la tarea "{task name}" en los siguientes extremos de Trellix ePO: {entity.identifier}

Si no se realiza correctamente para uno de los casos, haz lo siguiente:

No se pudo actualizar el agente según la tarea "{task name}" en los siguientes extremos de Trellix ePO: {entity.identifier}

Si no se completó correctamente para todos, haz lo siguiente:

No se actualizó ninguno de los agentes.

Si hay un error crítico (falla):

Se produjo un error al ejecutar la acción "Actualizar McAfee Agent". Motivo: {error traceback}

Si no se encuentra la tarea (error):

Se produjo un error al ejecutar la acción "Actualizar McAfee Agent". Motivo: No se encontró la tarea "{task name}" en Trellix ePO. Revisa la ortografía.

General

Conector

Conector de McAfee EPO - Threats

Descripción

Extraer eventos de la tabla EPOEvents a Google SecOps La lista de entidades permitidas funciona con los nombres de los analizadores.

Configura el conector de amenazas de McAfee EPO en Google SecOps

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro Tipo Valor predeterminado Is Mandatory Descripción
Nombre del campo del producto String Nombre del producto Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento String EPOEvents_ThreatType Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno String "" No

Describe el nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo del entorno, se usa el entorno predeterminado.

Patrón de expresión regular del entorno String .* No

Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno".

El valor predeterminado es .* para capturar todo y devolver el valor sin cambios.

Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex.

Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.

Tiempo de espera de la secuencia de comandos (segundos) Número entero 180 Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API String http://x.x.x.x:8443/remote/ Es la raíz de la API de la instancia de Trellix ePO.
Nombre de usuario String N/A Nombre de usuario de la instancia de Trellix ePO.
Contraseña Contraseña Contraseña de la instancia de Trellix ePO.
Nombre del grupo String No Si se proporciona, el conector solo recuperará amenazas de los extremos que forman parte de ese grupo.
Horas máximas hacia atrás Número entero 1 No Cantidad de horas desde las que se recuperan los eventos.
Cantidad máxima de eventos para recuperar Número entero 10 No Cantidad de eventos que se procesarán por iteración del conector. Cantidad predeterminada: 10.
Gravedad más baja que se recuperará String Medio No

Es la gravedad más baja de los eventos que se recuperarán. De forma predeterminada, el conector transferirá todos los eventos. Valores posibles:

Info, Low, Medium, High, Critical.

Usar la lista blanca como lista negra Casilla de verificación Marcado Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas.
Verificar SSL Casilla de verificación Desmarcado Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Trellix ePO sea válido.
Archivo del certificado de CA String N/A Falso Archivo de certificado de CA codificado en Base64.
Dirección del servidor proxy String N/A No Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy String N/A No Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy Contraseña No Contraseña del proxy para la autenticación.

Reglas del conector

Compatibilidad con proxy

El conector admite proxy.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.