McAfee ePO
Version de l'intégration : 31.0
Configurer l'intégration de McAfee ePO dans Google Security Operations
Configurer l'intégration de McAfee ePO avec un certificat CA
Si nécessaire, vous pouvez valider votre connexion avec un fichier de certificat CA.
Avant de commencer, assurez-vous de disposer des éléments suivants :
- Fichier de certificat CA
- Dernière version de l'intégration McAfee ePO
Pour configurer l'intégration avec un certificat d'autorité de certification, procédez comme suit :
- Analysez votre fichier de certificat CA en une chaîne Base64.
- Ouvrez la page des paramètres de configuration de l'intégration.
- Insérez la chaîne dans le champ Fichier de certificat de l'autorité de certification.
- Pour vérifier que l'intégration est correctement configurée, cochez la case Vérifier le protocole SSL, puis cliquez sur Tester.
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Adresse du serveur | Chaîne | https://<ServerAddress>:8443/remote/ | Oui | Adresse du serveur Trellix ePO. Exemple : https://127.0.0.1:8443/remote/ |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur pour l'authentification du serveur. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe pour l'authentification du serveur. |
| Nom du groupe | Chaîne | N/A | Non | Nom du groupe. |
| Fichier de certificat d'autorité de certification (AC) analysé en chaîne Base64 | Chaîne | N/A | Non | N/A |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ajouter un tag
Description
Ajoutez un tag à un point de terminaison dans Trellix ePO. Remarque : Vous ne pouvez appliquer que des tags qui existent dans le système. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du tag | Chaîne | N/A | Oui | Spécifiez le nom du tag à ajouter aux points de terminaison. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit pour un élément (is_success=true) : La balise "{tag name}" a bien été ajoutée aux points de terminaison suivants dans Trellix ePO : {entity.identifier} Si le tag fait déjà partie du point de terminaison (is_success=true) : Le tag "{tag}" faisait déjà partie des points de terminaison suivants dans Trellix ePO : {entity.identifier} Si l'opération n'a pas réussi pour l'un des éléments (is_success=true) L'action n'a pas pu ajouter le tag "{tag name}" aux points de terminaison suivants dans Trellix ePO : {entity.identifier} Si l'opération n'a pas réussi pour tous les éléments (is_success=false) : Le tag "{tag}" n'a pas été ajouté aux points de terminaison fournis. en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Ajouter un tag". Motif : {traceback} Si la balise n'est pas valide (échec) Erreur lors de l'exécution de l'action "Ajouter un tag". Raison : le tag "{tag name}" n'a pas été trouvé dans Trellix ePO. |
Général |
Comparer les fichiers DAT du serveur et de l'agent
Description
Récupérez les informations DAT du serveur et de l'agent à partir des points de terminaison dans Trellix ePO. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| Alert.DstPort | Renvoie la valeur si elle existe dans le résultat JSON. |
| Rule.msg | Renvoie la valeur si elle existe dans le résultat JSON. |
| Alert.IPSIDAlertID | Renvoie la valeur si elle existe dans le résultat JSON. |
| Alert.SrcIP | Renvoie la valeur si elle existe dans le résultat JSON. |
| Alert.LastTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| Alert.Protocol | Renvoie la valeur si elle existe dans le résultat JSON. |
| Alert.SrcPort | Renvoie la valeur si elle existe dans le résultat JSON. |
| Alert.DstIP | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | N/A | N/A |
Résultat JSON
{
"server_version": {server_version}
"dat_version": {dat_version}
"equal": true → if server_version == dat_version, else false
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | si le succès d'un Les informations DAT du serveur et de l'agent ont bien été récupérées à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for one L'action n'a pas pu récupérer les informations DAT du serveur et de l'agent à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for all Aucune information sur le DAT du serveur et de l'agent n'a été trouvée sur les points de terminaison fournis. en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Comparer les fichiers DAT du serveur et de l'agent". Motif : {traceback} |
Général |
Obtenir des informations sur l'agent
Description
Récupérez des informations sur les agents du point de terminaison à partir de Trellix ePO. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| EPO_LastUpdate | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPO_ManagedState | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPO_Tags | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPO_ExcludedTags | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPO_AgentVersion | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPO_AgentGUID | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}
]
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit pour un élément (is_success=true) : Les informations sur l'agent ont bien été récupérées pour les points de terminaison suivants dans Trellix ePO : {entity.identifier} Si l'opération n'a pas réussi pour l'un des éléments (is_success=true) L'action n'a pas pu récupérer les informations sur l'agent concernant les points de terminaison suivants dans Trellix ePO : {entity.identifier} Si l'opération n'a pas réussi pour tous les éléments (is_success=false) : Aucune information sur l'agenda n'a été trouvée pour les hôtes fournis. en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Get Agent Information". Motif : {traceback} |
Général |
Obtenir la version Dat
Description
Récupérez les informations DAT des points de terminaison dans Trellix ePO. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| Version .dat | N/A | N/A |
Résultat JSON
{
"DAT_version": {DAT version}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | si le succès d'un Les informations DAT ont bien été récupérées à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for one L'action n'a pas pu récupérer les informations DAT à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for all Aucune information sur DAT n'a été trouvée sur les points de terminaison fournis. en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Obtenir la version Dat". Motif : {traceback} |
Général |
Obtenir les événements pour le hachage
Description
Récupérez des informations sur les événements liés aux hachages. Remarque : Seuls les hachages MD5 sont acceptés.
Paramètres
| Nom | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Récupérer les événements de la table EPExtendedEvent | Case à cocher | Décochée | Non | Si cette option est activée, l'action utilisera également la table "EPExtendedEvent" pour trouver des informations sur les hachages. |
| Marquer comme suspect | Case à cocher | Oui | Faux | Si cette option est activée, l'action marquera comme suspects tous les hachages pour lesquels des événements ont été trouvés. |
| Créer un insight | Case à cocher | Non | Faux | Si cette option est activée, l'action créera un insight contenant des informations sur les hachages auxquels des événements sont associés. |
| Champs à renvoyer | CSV | EPOEvents.ThreatName, |
Faux | Spécifiez les champs à renvoyer. Si aucune valeur n'est spécifiée, l'action renvoie tous les champs disponibles. |
| Champ de tri | Chaîne | N/A | Faux | Spécifiez le champ à utiliser pour trier les résultats. |
| Ordre de tri | LDD | ASC Valeurs possibles : ASC DESC |
Faux | Spécifiez l'ordre de tri à appliquer à la requête. |
| Période | LDD | La dernière heure Valeurs possibles : La dernière heure Les 6 dernières heures Dernières 24 heures La semaine dernière Le mois dernier Personnalisé |
Faux | Spécifiez une période pour les événements. Si vous sélectionnez "Personnalisé", vous devez également indiquer une heure de début. |
| Heure de début | Chaîne | N/A | Faux | Spécifiez l'heure de début des événements. Ce paramètre est obligatoire si l'option "Personnalisé" est sélectionnée pour le paramètre "Période". Format : ISO 8601 |
| Heure de fin | Chaîne | N/A | Faux | Spécifiez l'heure de fin des événements. Format : ISO 8601. Si aucune valeur n'est fournie et que "Personnalisée" est sélectionné pour le paramètre "Période", ce paramètre utilisera l'heure actuelle. |
| Nombre maximal d'événements à renvoyer | Integer | 50 | Faux | Spécifiez le nombre d'événements à renvoyer. Valeur par défaut : 50. |
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| EPOEvents.ThreatCategory | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.TargetUserName | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.TargetPort | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.TargetFileName | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPOEvents.TargetIPV4 | Renvoie la valeur si elle existe dans le résultat JSON. |
| EPO_AgentGUID | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
Un insight sera créé pour les événements trouvés dans Trellix ePO pour le hachage actuel.
Résultat JSON
[
{
"EntityResult":
[
{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}
]
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit et que des résultats sont disponibles (is_success=true) : "Les événements disponibles pour les hachages suivants dans Trellix ePO ont été renvoyés : {entity.identifier}" Si l'opération échoue pour l'un des éléments (is_success=true) "L'action n'a pas pu trouver d'événements pour les hachages suivants dans Trellix ePO : {entity.identifier}" Si l'opération n'a pas réussi pour tous les éléments (is_success=false) : "Aucun événement n'a été trouvé pour les points de terminaison fournis dans Trellix ePO." Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : "Erreur lors de l'exécution de l'action "Obtenir les menaces liées aux points de terminaison". Raison : {0}''.format(error.Stacktrace) Si une erreur figure dans la réponse (échec) : "Erreur lors de l'exécution de l'action "Exécuter une requête d'entité". Motif : {0}''.format( texte de la réponse) Si l'heure de début est vide et que la période est définie sur "Personnalisée" (échec) : "Erreur lors de l'exécution de l'action "Obtenir les menaces sur les points de terminaison". Motif : "L'heure de début doit être indiquée lorsque l'option "Personnalisée" est sélectionnée dans le paramètre "Période"." |
Général |
Obtenir l'état des adresses IP de l'hôte
Description
Récupérez les informations IPS des points de terminaison dans Trellix ePO. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_status_received | Vrai/Faux | is_status_received:False |
Résultat JSON
{
"IPS_status": {IPS_status}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | si le succès d'un Les informations IPS ont bien été récupérées à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for one L'action n'a pas pu récupérer les informations IPS à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for all Aucune information sur les IPS'a été trouvée sur les points de terminaison fournis. en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Obtenir l'état de l'IPS de l'hôte". Motif : {traceback} |
Général |
Obtenir l'état des adresses IP du réseau hôte
Description
Récupérez les informations IPS réseau à partir des points de terminaison dans Trellix ePO. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_status_received | Vrai/Faux | is_status_received:False |
Résultat JSON
{
"Network_IPS_status": {Network_IPS_status}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | si le succès d'un Les informations sur le système de prévention des intrusions réseau ont été récupérées avec succès à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for one L'action n'a pas pu récupérer les informations sur le système de prévention des intrusions réseau à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for all Aucune information sur le système IPS réseau n'a été trouvée sur les points de terminaison fournis. en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Get Host Network IPS Status". Motif : {traceback} |
Général |
Obtenir l'heure de la dernière communication
Description
Récupérez des informations sur l'heure de la dernière communication des points de terminaison dans Trellix ePO. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| isSuccess | Vrai/Faux | isSuccess:False |
Résultat JSON
{
"last_communication_time": {last_communication_time}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | si le succès d'un Les informations sur l'heure de la dernière communication ont été récupérées avec succès à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for one L'action n'a pas pu récupérer les informations sur l'heure de la dernière communication à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for all Aucune information sur l'heure de la dernière communication n'a été trouvée sur les points de terminaison fournis. en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Obtenir l'heure de la dernière communication". Motif : {traceback} |
Général |
Obtenir la version de l'agent McAfee ePO
Description
Récupérez des informations sur la version de l'agent à partir des points de terminaison de Trellix ePO. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| Version de l'agent McAfee | N/A | N/A |
Résultat JSON
{
"ePO_agent_version": ePO_agent_version
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | si le succès d'un Les informations sur la version de l'agent ont été récupérées avec succès à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for one L'action n'a pas pu récupérer les informations sur la version de l'agent à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for all Aucune information sur la version de l'agent n'a été trouvée sur les points de terminaison fournis. en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Obtenir l'heure de la dernière communication". Motif : {traceback} |
Général |
Obtenir des informations système
Description
Renvoie des informations système sur les points de terminaison à partir de Trellix ePO. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Créer un insight | Case à cocher | Case cochée | Si cette option est activée, l'action créera un insight contenant des informations sur le point de terminaison. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| FreeDiskSpace | Renvoie la valeur si elle existe dans le résultat JSON. |
| Nom d'utilisateur | Renvoie la valeur si elle existe dans le résultat JSON. |
| DomainName | Renvoie la valeur si elle existe dans le résultat JSON. |
| LastAgentHandler | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPV4x | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSBitMode | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPV6 | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSType | Renvoie la valeur si elle existe dans le résultat JSON. |
| SysvolFreeSpace | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPHostName | Renvoie la valeur si elle existe dans le résultat JSON. |
| CPUSerialNum | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPSubnetMask | Renvoie la valeur si elle existe dans le résultat JSON. |
| SysvolTotalSpace | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPSubnet | Renvoie la valeur si elle existe dans le résultat JSON. |
| Description | Renvoie la valeur si elle existe dans le résultat JSON. |
| FreeMemory | Renvoie la valeur si elle existe dans le résultat JSON. |
| CPUSpeed | Renvoie la valeur si elle existe dans le résultat JSON. |
| SubnetMask | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPAddress | Renvoie la valeur si elle existe dans le résultat JSON. |
| DefaultLangID | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSPlatform | Renvoie la valeur si elle existe dans le résultat JSON. |
| NetAddress | Renvoie la valeur si elle existe dans le résultat JSON. |
| TotalDiskSpace | Renvoie la valeur si elle existe dans le résultat JSON. |
| SubnetAddress | Renvoie la valeur si elle existe dans le résultat JSON. |
| NumOfCPU | Renvoie la valeur si elle existe dans le résultat JSON. |
| TimeZone | Renvoie la valeur si elle existe dans le résultat JSON. |
| SystemDescription | Renvoie la valeur si elle existe dans le résultat JSON. |
| Vdi | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSBuildNum | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSVersion | Renvoie la valeur si elle existe dans le résultat JSON. |
| IsPortable | Renvoie la valeur si elle existe dans le résultat JSON. |
| TotalPhysicalMemory | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPXAddress | Renvoie la valeur si elle existe dans le résultat JSON. |
| UserProperty7 | Renvoie la valeur si elle existe dans le résultat JSON. |
| ParentID | Renvoie la valeur si elle existe dans le résultat JSON. |
| CPUType | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
.png?hl=fr)
Résultat JSON
[
{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": " ",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": " ",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": " ",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": " ",
"UserProperty6": " ",
"UserProperty5": " ",
"UserProperty4": " ",
"UserProperty3": " ",
"UserProperty2": " ",
"UserProperty1": " ",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": " "
},
"Entity": "1.1.1.1"
}
]
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit pour un élément (is_success=true) : Les informations système concernant les points de terminaison suivants ont bien été récupérées depuis Trellix ePO : {entity.identifier} Si l'opération n'a pas abouti pour l'un des événements (is_success=true) : L'action n'a pas pu récupérer les informations système concernant les points de terminaison suivants à partir de Trellix ePO : {entity.identifier} Si l'opération n'a pas réussi pour tous les éléments (is_success=false) Aucune information système n'a été trouvée concernant les points de terminaison fournis. En cas d'erreur critique : Erreur lors de l'exécution de l'action "Obtenir des informations système". Motif : {error.traceback} |
Général |
Obtenir la version de l'agent du moteur antivirus
Description
Récupérez les informations sur la version de l'agent Virus Engine à partir des points de terminaison dans McAfee ePO. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| Version de l'agent du moteur antivirus | N/A | N/A |
Résultat JSON
{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | si le succès d'un Les informations sur la version de l'agent Virus Engine ont bien été récupérées à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for one L'action n'a pas pu récupérer les informations sur la version de l'agent Virus Engine à partir des points de terminaison suivants dans Trellix ePO : {entity.identifier} if not success for all Aucune information sur la version de l'agent Virus Engine n'a été trouvée sur les points de terminaison fournis. en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Obtenir la version de l'agent du moteur antivirus". Motif : {traceback} |
Général |
Ping
Description
Testez la connectivité à Trellix ePO avec les paramètres fournis sur la page de configuration de l'intégration, dans l'onglet "Google Security Operations Marketplace".
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| null | N/A | N/A |
Résultat JSON
N/A
Supprimer le tag
Description
Supprimez un tag d'un point de terminaison dans Trellix ePO. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du tag | Chaîne | N/A | Oui | Spécifiez le nom du tag à supprimer des points de terminaison. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit pour un élément (is_success=true) : Le tag "{tag name}" a bien été supprimé des points de terminaison suivants dans Trellix ePO : {entity.identifier} Si le tag ne fait pas partie du point de terminaison (is_success=true) : Le tag "{tag}" ne faisait pas partie des points de terminaison suivants dans Trellix ePO : {entity.identifier} Si l'opération n'a pas réussi pour l'un des éléments (is_success=true) L'action n'a pas pu supprimer le tag "{tag name}" des points de terminaison suivants dans Trellix ePO : {entity.identifier} Si l'opération n'a pas réussi pour tous les éléments (is_success=false) : Le tag "{tag} n'a pas été supprimé des points de terminaison fournis." en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Supprimer le tag". Motif : {traceback} Si la balise n'est pas valide (échec) Erreur lors de l'exécution de l'action "Supprimer le tag". Raison : le tag "{tag name}" n'a pas été trouvé dans Trellix ePO. |
Général |
Exécuter une analyse complète
Description
Exécutez une analyse complète des points de terminaison fournis dans Trellix ePO. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la tâche | Chaîne | Analyse à la demande : analyse complète | Oui | Spécifiez la tâche à exécuter pour obtenir une analyse complète. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| RunTask_Status | N/A | N/A |
Résultat JSON
{
"status": "success" or "failure"
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit pour un seul compte : L'analyse complète basée sur la tâche "{task name}" s'est exécutée avec succès sur les points de terminaison suivants dans Trellix ePO : {entity.identifier} Si l'opération échoue pour l'un des comptes : L'action n'a pas pu exécuter une analyse complète en fonction de la tâche "{task name}" sur les points de terminaison suivants dans Trellix ePO : {entity.identifier} Si l'opération n'a pas réussi pour tous les éléments : L'analyse complète n'a pas été exécutée sur les points de terminaison fournis. en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Exécuter une analyse complète". Motif : {error traceback} Si la tâche est introuvable (échec) : Erreur lors de l'exécution de l'action "Exécuter une analyse complète". Motif : La tâche "{task name}" est introuvable dans Trellix ePO. Veuillez vérifier l'orthographe. |
Général |
Mettre à jour l'agent McAfee
Description
Mettez à jour l'agent McAfee sur les points de terminaison fournis dans Trellix ePO. Tâche pour Windows : DAT_Update_Windows_CWS. Tâche pour Linux : DAT_Update_Linux_CWS. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la tâche | Chaîne | DAT_Update_Windows_CWS | Oui | Spécifiez la tâche à exécuter pour mettre à jour McAfee Agent. La valeur par défaut pour Windows est DAT_Update_Windows_CWS. Pour Linux, il s'agit de DAT_Update_Linux_CWS. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| Update_Status | N/A | N/A |
Résultat JSON
{
"status": "success" or "failure"
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit pour un seul compte : Les agents ont été mis à jour avec succès en fonction de la tâche "{task name}" sur les points de terminaison suivants dans Trellix ePO : {entity.identifier} Si l'opération échoue pour l'un des comptes : L'action n'a pas pu mettre à jour l'agent en fonction de la tâche "{task name}" sur les points de terminaison suivants dans Trellix ePO : {entity.identifier} Si l'opération n'a pas réussi pour tous les éléments : Aucun agent n'a été mis à jour. en cas d'erreur critique (échec) : Erreur lors de l'exécution de l'action "Mettre à jour McAfee Agent". Motif : {error traceback} Si la tâche est introuvable (échec) : Erreur lors de l'exécution de l'action "Mettre à jour McAfee Agent". Motif : La tâche "{task name}" est introuvable dans Trellix ePO. Veuillez vérifier l'orthographe. |
Général |
Connecteur
Connecteur McAfee EPO – Menaces
Description
Extrayez les événements de la table EPOEvents vers Google SecOps. La liste d'autorisation fonctionne avec les noms d'analyseurs.
Configurer le connecteur McAfee EPO-Threats dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | EPOEvents_ThreatType | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | http://x.x.x.x:8443/remote/ | Oui | Racine de l'API de l'instance Trellix ePO. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur de l'instance Trellix ePO. |
| Mot de passe | Mot de passe | Oui | Mot de passe de l'instance Trellix ePO. | |
| Nom du groupe | Chaîne | Non | Si un groupe est spécifié, le connecteur n'extrait les menaces que des points de terminaison qui en font partie. | |
| Nombre maximal d'heures en arrière | Integer | 1 | Non | Nombre d'heures à partir desquelles récupérer les événements. |
| Nombre maximal d'événements à récupérer | Integer | 10 | Non | Nombre d'événements à traiter par itération du connecteur. Par défaut : 10. |
| Gravité la plus faible à récupérer | Chaîne | Moyenne | Non | Gravité la plus faible des événements à récupérer. Par défaut, le connecteur ingère tous les événements. Valeurs possibles : Info, Faible, Moyen, Élevé, Critique |
| Utiliser la liste blanche comme liste noire | Case à cocher | Cochée | Oui | Si cette option est activée, la liste blanche sera utilisée comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Trellix ePO est valide. |
| Fichier de certificat CA | Chaîne | N/A | Faux | Fichier de certificat CA encodé en base64. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.