Halaman ini diterjemahkan oleh Cloud Translation API.

McAfee ePO

Versi integrasi: 31.0

Mengonfigurasi integrasi McAfee ePO di Google Security Operations

Mengonfigurasi integrasi McAfee ePO dengan sertifikat CA

Anda dapat memverifikasi koneksi dengan file sertifikat CA jika diperlukan.

Sebelum memulai, pastikan Anda memiliki hal berikut:

File sertifikat CA
Versi integrasi McAfee ePO terbaru

Untuk mengonfigurasi integrasi dengan sertifikat CA, selesaikan langkah-langkah berikut:

Parse file sertifikat CA Anda ke dalam String Base64.
Buka halaman parameter konfigurasi integrasi.
Masukkan string di kolom CA Certificate File.
Untuk menguji bahwa integrasi berhasil dikonfigurasi, centang kotak Verifikasi SSL, lalu klik Uji.

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib diisi	Deskripsi
Nama Instance	String	T/A	Tidak	Nama Instance yang ingin Anda konfigurasi integrasinya.
Deskripsi	String	T/A	Tidak	Deskripsi instance.
Alamat server	String	https://<ServerAddress>:8443/remote/	Ya	Alamat Server Trellix ePO. Contoh: https://127.0.0.1:8443/remote/
Nama pengguna	String	T/A	Ya	Nama pengguna untuk autentikasi server.
Sandi	Sandi	T/A	Ya	Sandi untuk autentikasi server.
Nama Grup	String	T/A	Tidak	Nama grup.
File Sertifikat CA - diuraikan menjadi String Base64	String	T/A	Tidak	T/A
Menjalankan dari Jarak Jauh	Kotak centang	Tidak dicentang	Tidak	Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen).

Tindakan

Tambahkan Tag

Deskripsi

Menambahkan tag ke endpoint di Trellix ePO. Catatan: Anda hanya dapat menerapkan tag yang ada di sistem. Entitas yang didukung: Nama host, IP.

Parameter

Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Tag	String	T/A	Ya	Tentukan nama tag yang perlu ditambahkan ke endpoint.

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Hasil JSON

N/A

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Jika berhasil untuk satu (is_success=true): Berhasil menambahkan tag "{tag name}" ke endpoint berikut di Trellix ePO: {entity.identifier} Jika tag sudah menjadi bagian dari endpoint: (is_success=true): Tag "{tag}" sudah menjadi bagian dari endpoint berikut di Trellix ePO: {entity.identifier} Jika tidak berhasil untuk satu (is_success=true) Tindakan tidak dapat menambahkan tag "{tag name}" ke endpoint berikut di Trellix ePO: {entity.identifier} Jika tidak berhasil untuk semua (is_success=false): Tag "{tag} tidak ditambahkan ke endpoint yang diberikan". jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Tambahkan Tag". Alasan: {traceback} Jika tag tidak valid (gagal) Error saat menjalankan tindakan "Tambahkan Tag", Alasan: tag "{tag name}" tidak ditemukan di Trellix ePO.	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Jika berhasil untuk satu (is_success=true):

Berhasil menambahkan tag "{tag name}" ke endpoint berikut di

Trellix ePO: {entity.identifier}

Jika tag sudah menjadi bagian dari endpoint: (is_success=true):

Tag "{tag}" sudah menjadi bagian dari endpoint berikut di Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk satu (is_success=true)

Tindakan tidak dapat menambahkan tag "{tag name}" ke endpoint berikut di Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk semua (is_success=false):

Tag "{tag} tidak ditambahkan ke endpoint yang diberikan".

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Tambahkan Tag". Alasan: {traceback}

Jika tag tidak valid (gagal)

Error saat menjalankan tindakan "Tambahkan Tag", Alasan: tag "{tag name}" tidak ditemukan di Trellix ePO.

Umum

Membandingkan DAT Server dan Agen

Deskripsi

Mengambil informasi DAT server dan agen dari endpoint di Trellix ePO. Entitas yang didukung: Nama host, IP.

Parameter

T/A

Kasus penggunaan

T/A

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Pengayaan Entity

Nama Kolom Pengayaan	Logika - Kapan harus menerapkan
Alert.DstPort	Menampilkan apakah ada di hasil JSON
Rule.msg	Menampilkan apakah ada di hasil JSON
Alert.IPSIDAlertID	Menampilkan apakah ada di hasil JSON
Alert.SrcIP	Menampilkan apakah ada di hasil JSON
Alert.LastTime	Menampilkan apakah ada di hasil JSON
Alert.Protocol	Menampilkan apakah ada di hasil JSON
Alert.SrcPort	Menampilkan apakah ada di hasil JSON
Alert.DstIP	Menampilkan apakah ada di hasil JSON

Insight

T/A

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
null	T/A	T/A

Hasil JSON

{

"server_version": {server_version}

"dat_version": {dat_version}

"equal": true → if server_version == dat_version, else false

}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	jika berhasil untuk satu Berhasil mengambil informasi DAT server dan agen dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk satu Tindakan tidak dapat mengambil informasi DAT server dan agen dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk semua Tidak ada informasi tentang DAT server dan agen yang ditemukan di endpoint yang diberikan. jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Compare Server and Agent DAT". Alasan: {traceback}	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

jika berhasil untuk satu

Berhasil mengambil informasi DAT server dan agen dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk satu

Tindakan tidak dapat mengambil informasi DAT server dan agen dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk semua

Tidak ada informasi tentang DAT server dan agen yang ditemukan di endpoint yang diberikan.

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Compare Server and Agent DAT". Alasan: {traceback}

Umum

Mendapatkan Informasi Agen

Deskripsi

Mengambil informasi tentang agen endpoint dari Trellix ePO. Entitas yang didukung: Hostname, IP.

Parameter

T/A

Kasus penggunaan

T/A

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Pengayaan Entity

Nama Kolom Pengayaan	Logika - Kapan harus menerapkan
EPO_LastUpdate	Menampilkan apakah ada di hasil JSON
EPO_ManagedState	Menampilkan apakah ada di hasil JSON
EPO_Tags	Menampilkan apakah ada di hasil JSON
EPO_ExcludedTags	Menampilkan apakah ada di hasil JSON
EPO_AgentVersion	Menampilkan apakah ada di hasil JSON
EPO_AgentGUID	Menampilkan apakah ada di hasil JSON

Insight

T/A

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Hasil JSON

[
    {
        "EntityResult":
        {
            "LastUpdate": "2019-01-22T13:04:49+02:00",
            "ManagedState": "1",
            "Tags": "Server, Workstation",
            "ExcludedTags": "",
            "AgentVersion": "1.1.1.1",
            "AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
        },
        "Entity": "1.1.1.1"
    }
]

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Jika berhasil untuk satu (is_success=true): Berhasil mengambil informasi agen tentang endpoint berikut di Trellix ePO: {entity.identifier} Jika tidak berhasil untuk satu (is_success=true) Tindakan tidak dapat mengambil informasi agen tentang endpoint berikut di Trellix ePO: {entity.identifier} Jika tidak berhasil untuk semua (is_success=false): Tidak ada informasi agenda yang ditemukan untuk host yang diberikan. jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Get Agent Information". Alasan: {traceback}	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Jika berhasil untuk satu (is_success=true):

Berhasil mengambil informasi agen tentang endpoint berikut di Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk satu (is_success=true)

Tindakan tidak dapat mengambil informasi agen tentang endpoint berikut di Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk semua (is_success=false):

Tidak ada informasi agenda yang ditemukan untuk host yang diberikan.

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Get Agent Information". Alasan: {traceback}

Umum

Mendapatkan Versi Dat

Deskripsi

Mengambil informasi DAT dari endpoint di Trellix ePO. Entitas yang didukung: Nama host, IP.

Parameter

T/A

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
Versi Dat	T/A	T/A

Hasil JSON

{
"DAT_version": {DAT version}
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	jika berhasil untuk satu Berhasil mengambil informasi DAT dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk satu Tindakan tidak dapat mengambil informasi DAT dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk semua Tidak ada informasi tentang DAT yang ditemukan di endpoint yang diberikan. jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Get Dat Version". Alasan: {traceback}	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

jika berhasil untuk satu

Berhasil mengambil informasi DAT dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk satu

Tindakan tidak dapat mengambil informasi DAT dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk semua

Tidak ada informasi tentang DAT yang ditemukan di endpoint yang diberikan.

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Get Dat Version". Alasan: {traceback}

Umum

Mendapatkan Acara untuk Hash

Deskripsi

Mengambil informasi tentang peristiwa yang terkait dengan hash. Catatan: hanya hash MD5 yang didukung.

Parameter

Nama	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Mengambil Peristiwa dari Tabel EPExtendedEvent	Kotak centang	Tidak dicentang	Tidak	Jika diaktifkan, tindakan juga akan menggunakan Tabel "EPExtendedEvent" untuk menemukan informasi tentang hash.
Tandai Sebagai Mencurigakan	Kotak centang	Ya	Salah	Jika diaktifkan, tindakan akan menandai semua hash yang peristiwanya ditemukan sebagai mencurigakan.
Buat Insight	Kotak centang	Tidak	Salah	Jika diaktifkan, tindakan akan membuat insight yang berisi informasi tentang hash mana yang memiliki peristiwa terkait.
Kolom yang Akan Ditampilkan	CSV	EPOEvents.ThreatName, EPOEvents.ThreatType, EPOEvents.ThreatActionTaken, EPOEvents.ThreatHandled, EPOEvents.ThreatCategory ,EPOEvents.TargetHostName, EPOEvents.TargetUserName, EPOEvents.TargetFileName, EPOEvents.TargetProcessName, EPOEvents.TargetPort,EPOEvents. TargetProtocol,EPOEvents. ThreatCategory,EPOEvents. TargetIPV4,EPOEvents. SourceHostName,EPOEvents. SourceIPV4,EPOEvents. SourceUserName,EPOEvents. SourceProcessName,EPOEvents. SourceURL	Salah	Tentukan kolom yang akan ditampilkan. Jika tidak ada yang ditentukan, tindakan akan menampilkan semua kolom yang tersedia.
Kolom Pengurutan	String	T/A	Salah	Tentukan kolom yang akan digunakan untuk mengurutkan hasil.
Tata Urutan	DDL	ASC Nilai yang Mungkin: ASC DESC	Salah	Tentukan urutan pengurutan yang harus diterapkan pada kueri.
Jangka Waktu	DDL	Sejam Terakhir Nilai yang Mungkin: Sejam Terakhir 6 Jam Terakhir 24 Jam Terakhir Seminggu Terakhir Sebulan Terakhir Kustom	Salah	Tentukan jangka waktu untuk peristiwa. Jika "Kustom" dipilih, Anda juga perlu memberikan "Waktu Mulai".
Waktu Mulai	String	T/A	Salah	Tentukan waktu mulai untuk acara. Parameter ini wajib diisi, jika "Kustom" dipilih untuk parameter "Rentang Waktu". Format: ISO 8601
Waktu Berakhir	String	T/A	Salah	Tentukan waktu berakhir untuk acara. Format: ISO 8601. Jika tidak ada yang diberikan dan "Khusus" dipilih untuk parameter "Rentang Waktu", parameter ini akan menggunakan waktu saat ini.
Jumlah Maksimum Acara yang Akan Ditampilkan	Bilangan bulat	50	Salah	Tentukan jumlah peristiwa yang akan ditampilkan. Default: 50.

Run On

Tindakan ini dijalankan pada entity Filehash.

Hasil Tindakan

Pengayaan Entity

Nama Kolom Pengayaan	Logika - Kapan harus menerapkan
EPOEvents.ThreatCategory	Menampilkan apakah ada di hasil JSON
EPOEvents.TargetUserName	Menampilkan apakah ada di hasil JSON
EPOEvents.TargetPort	Menampilkan apakah ada di hasil JSON
EPOEvents.TargetFileName	Menampilkan apakah ada di hasil JSON
EPOEvents.TargetIPV4	Menampilkan apakah ada di hasil JSON
EPO_AgentGUID	Menampilkan apakah ada di hasil JSON

Insight

Insight akan dibuat untuk peristiwa yang ditemukan di Trellix ePO untuk hash saat ini.

Hasil JSON

[
    {
        "EntityResult":
        [
            {
                "EPOEvents.ThreatCategory": "av.detect",
                "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
                "EPOEvents.TargetPort": "None",
                "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
                "EPOEvents.TargetIPV4": -1979711347,
                "EPOEvents.ThreatName": "EICAR test file",
                "EPOEvents.SourceUserName": "None",
                "EPOEvents.TargetProcessName": "None",
                "EPOEvents.SourceProcessName": "None",
                "EPOEvents.ThreatType": "test",
                "EPOEvents.SourceIPV4": -1979711347,
                "EPOEvents.TargetProtocol": "None",
                "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
                "EPOEvents.SourceURL": "None",
                "EPOEvents.ThreatActionTaken": "deleted",
                "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
                "EPOEvents.ThreatHandled": "True",
                "EPOEvents.SourceHostName": "_"
            }, {
                "EPOEvents.ThreatCategory": "av.detect",
                "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
                "EPOEvents.TargetPort": "None",
                "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
                "EPOEvents.TargetIPV4": -1979711347,
                "EPOEvents.ThreatName": "EICAR test file",
                "EPOEvents.SourceUserName": "None",
                "EPOEvents.TargetProcessName": "None",
                "EPOEvents.SourceProcessName": "None",
                "EPOEvents.ThreatType": "test",
                "EPOEvents.SourceIPV4": -1979711347,
                "EPOEvents.TargetProtocol": "None",
                "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
                "EPOEvents.SourceURL": "None",
                "EPOEvents.ThreatActionTaken": "deleted",
                "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
                "EPOEvents.ThreatHandled": "True",
                "EPOEvents.SourceHostName": "_"
            }],
        "Entity": "44d88612fea8a8f36de82e1278abb02f"
    }
]

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Jika berhasil dan hasil tersedia: (is_success=true) "Successfully returned available events for the following hashes in Trellix ePO: {entity.identifier}" (Berhasil menampilkan peristiwa yang tersedia untuk hash berikut di Trellix ePO: {entity.identifier}) Jika tidak berhasil untuk satu: (is_success=true) "Action tidak dapat menemukan peristiwa untuk hash berikut di Trellix ePO: {entity.identifier}" Jika tidak berhasil untuk semua (is_success=false): "Tidak ada peristiwa yang ditemukan untuk endpoint yang diberikan di Trellix ePO." jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya (gagal): "Error saat menjalankan tindakan "Get Endpoint Threats". Alasan: {0}''.format(error.Stacktrace) Jika Error ada dalam respons (gagal): "Error saat menjalankan tindakan "Execute Entity Query". Alasan: {0}''.format( response text) jika Waktu Mulai kosong, saat "Rentang Waktu" adalah "Kustom" (gagal): "Error saat menjalankan tindakan "Dapatkan Ancaman Endpoint". Alasan: "Waktu Mulai" harus diberikan, jika "Kustom" dipilih dalam parameter "Rentang Waktu"."	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Jika berhasil dan hasil tersedia: (is_success=true)

"Successfully returned available events for the following hashes in Trellix ePO: {entity.identifier}" (Berhasil menampilkan peristiwa yang tersedia untuk hash berikut di Trellix ePO: {entity.identifier})

Jika tidak berhasil untuk satu: (is_success=true)

"Action tidak dapat menemukan peristiwa untuk hash berikut di Trellix ePO: {entity.identifier}"

Jika tidak berhasil untuk semua (is_success=false):

"Tidak ada peristiwa yang ditemukan untuk endpoint yang diberikan di Trellix ePO."

jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya (gagal): "Error saat menjalankan tindakan "Get Endpoint Threats". Alasan: {0}''.format(error.Stacktrace)

Jika Error ada dalam respons (gagal): "Error saat menjalankan tindakan "Execute Entity Query". Alasan: {0}''.format( response text)

jika Waktu Mulai kosong, saat "Rentang Waktu" adalah "Kustom" (gagal): "Error saat menjalankan tindakan "Dapatkan Ancaman Endpoint". Alasan: "Waktu Mulai" harus diberikan, jika "Kustom" dipilih dalam parameter "Rentang Waktu"."

Umum

Mendapatkan Status IP Host

Deskripsi

Ambil informasi IPS dari endpoint di Trellix ePO. Entitas yang didukung: Nama host, IP.

Parameter

T/A

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_status_received	Benar/Salah	is_status_received:False

Hasil JSON

{
"IPS_status": {IPS_status}
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	jika berhasil untuk satu Berhasil mengambil informasi IPS dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk satu Tindakan tidak dapat mengambil informasi IPS dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk semua Tidak ada informasi tentang IPS yang ditemukan di endpoint yang diberikan. jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Get Host IPS Status". Alasan: {traceback}	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

jika berhasil untuk satu

Berhasil mengambil informasi IPS dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk satu

Tindakan tidak dapat mengambil informasi IPS dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk semua

Tidak ada informasi tentang IPS yang ditemukan di endpoint yang diberikan.

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Get Host IPS Status". Alasan: {traceback}

Umum

Mendapatkan Status IP Jaringan Host

Deskripsi

Ambil informasi IPS Jaringan dari endpoint di Trellix ePO. Entitas yang didukung: Hostname, IP.

Parameter

T/A

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_status_received	Benar/Salah	is_status_received:False

Hasil JSON

{
"Network_IPS_status": {Network_IPS_status}
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	jika berhasil untuk satu Berhasil mengambil informasi Network IPS dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk satu Tindakan tidak dapat mengambil informasi Network IPS dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk semua Tidak ada informasi tentang Network IPS yang ditemukan di endpoint yang diberikan. jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Get Host Network IPS Status". Alasan: {traceback}	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

jika berhasil untuk satu

Berhasil mengambil informasi Network IPS dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk satu

Tindakan tidak dapat mengambil informasi Network IPS dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk semua

Tidak ada informasi tentang Network IPS yang ditemukan di endpoint yang diberikan.

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Get Host Network IPS Status". Alasan: {traceback}

Umum

Mendapatkan Waktu Komunikasi Terakhir

Deskripsi

Ambil informasi tentang waktu komunikasi terakhir dari endpoint di Trellix ePO. Entitas yang didukung: Nama host, IP.

Parameter

T/A

Kasus penggunaan

T/A

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Pengayaan Entity

T/A

Insight

T/A

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
isSuccess	Benar/Salah	isSuccess:False

Hasil JSON

{
"last_communication_time": {last_communication_time}
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	jika berhasil untuk satu Berhasil mengambil informasi waktu komunikasi terakhir dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk satu Tindakan tidak dapat mengambil informasi waktu komunikasi terakhir dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk semua Tidak ada informasi tentang waktu komunikasi terakhir yang ditemukan di endpoint yang diberikan. jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Get Last Communication Time". Alasan: {traceback}	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

jika berhasil untuk satu

Berhasil mengambil informasi waktu komunikasi terakhir dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk satu

Tindakan tidak dapat mengambil informasi waktu komunikasi terakhir dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk semua

Tidak ada informasi tentang waktu komunikasi terakhir yang ditemukan di endpoint yang diberikan.

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Get Last Communication Time". Alasan: {traceback}

Umum

Mendapatkan Versi Agen McAfee Epo

Deskripsi

Mengambil informasi tentang versi agen dari endpoint di Trellix ePO. Entitas yang didukung: Nama host, IP.

Parameter

T/A

Kasus penggunaan

T/A

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Pengayaan Entity

T/A

Insight

T/A

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
Versi Agen McAfee	T/A	T/A

Hasil JSON

{
"ePO_agent_version": ePO_agent_version
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	jika berhasil untuk satu Berhasil mengambil informasi versi agen dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk satu Tindakan tidak dapat mengambil informasi versi agen dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk semua Tidak ada informasi tentang versi agen yang ditemukan di endpoint yang diberikan. jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Get Last Communication Time". Alasan: {traceback}	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

jika berhasil untuk satu

Berhasil mengambil informasi versi agen dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk satu

Tindakan tidak dapat mengambil informasi versi agen dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk semua

Tidak ada informasi tentang versi agen yang ditemukan di endpoint yang diberikan.

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Get Last Communication Time". Alasan: {traceback}

Umum

Mendapatkan Informasi Sistem

Deskripsi

Mengembalikan informasi sistem tentang endpoint dari Trellix ePO. Entitas yang didukung: Hostname, IP.

Parameter

Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Buat Insight	Kotak centang	Kotak Centang Dicentang		Jika diaktifkan, tindakan akan membuat insight yang berisi informasi tentang endpoint.

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Pengayaan Entity

Nama Kolom Pengayaan	Logika - Kapan harus menerapkan
FreeDiskSpace	Menampilkan apakah ada di hasil JSON
NamaPengguna	Menampilkan apakah ada di hasil JSON
DomainName	Menampilkan apakah ada di hasil JSON
LastAgentHandler	Menampilkan apakah ada di hasil JSON
IPV4x	Menampilkan apakah ada di hasil JSON
OSBitMode	Menampilkan apakah ada di hasil JSON
IPV6	Menampilkan apakah ada di hasil JSON
OSType	Menampilkan apakah ada di hasil JSON
SysvolFreeSpace	Menampilkan apakah ada di hasil JSON
IPHostName	Menampilkan apakah ada di hasil JSON
CPUSerialNum	Menampilkan apakah ada di hasil JSON
IPSubnetMask	Menampilkan apakah ada di hasil JSON
SysvolTotalSpace	Menampilkan apakah ada di hasil JSON
IPSubnet	Menampilkan apakah ada di hasil JSON
Deskripsi	Menampilkan apakah ada di hasil JSON
FreeMemory	Menampilkan apakah ada di hasil JSON
CPUSpeed	Menampilkan apakah ada di hasil JSON
SubnetMask	Menampilkan apakah ada di hasil JSON
IPAddress	Menampilkan apakah ada di hasil JSON
DefaultLangID	Menampilkan apakah ada di hasil JSON
OSPlatform	Menampilkan apakah ada di hasil JSON
NetAddress	Menampilkan apakah ada di hasil JSON
TotalDiskSpace	Menampilkan apakah ada di hasil JSON
SubnetAddress	Menampilkan apakah ada di hasil JSON
NumOfCPU	Menampilkan apakah ada di hasil JSON
TimeZone	Menampilkan apakah ada di hasil JSON
SystemDescription	Menampilkan apakah ada di hasil JSON
Vdi	Menampilkan apakah ada di hasil JSON
OSBuildNum	Menampilkan apakah ada di hasil JSON
OSVersion	Menampilkan apakah ada di hasil JSON
IsPortable	Menampilkan apakah ada di hasil JSON
TotalPhysicalMemory	Menampilkan apakah ada di hasil JSON
IPXAddress	Menampilkan apakah ada di hasil JSON
UserProperty7	Menampilkan apakah ada di hasil JSON
ParentID	Menampilkan apakah ada di hasil JSON
CPUType	Menampilkan apakah ada di hasil JSON

Insight

gambar (1134)

Hasil JSON

[
    {
        "EntityResult":
        {
            "FreeDiskSpace": "444316",
            "UserName": "Admin",
            "OSServicePackVer": " ",
            "DomainName": "WORKGROUP",
            "LastAgentHandler": "1",
            "IPV4x": "-1979711239",
            "OSBitMode": "1",
            "IPV6": "0:0:0:0:0:FFFF:A00:F9",
            "OSType": "Windows Server 2012 R2",
            "SysvolFreeSpace": "94782",
            "IPHostName": "McAfee-ePO",
            "CPUSerialNum": "N/A",
            "IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
            "SysvolTotalSpace": "161647",
            "IPSubnet": "0:0:0:0:0:FFFF:A00:0",
            "Description": "None",
            "FreeMemory": "1626767360",
            "CPUSpeed": "2400",
            "SubnetMask": " ",
            "IPAddress": "1.1.1.1",
            "DefaultLangID": "0409",
            "OSPlatform": "Server",
            "ComputerName": "MCAFEE-EPO",
            "OSOEMID": "00252-00112-26656-AA653",
            "NetAddress": "005056A56847",
            "TotalDiskSpace": "511646",
            "SubnetAddress": " ",
            "NumOfCPU": "4",
            "TimeZone": "Jerusalem Standard Time",
            "SystemDescription": "N/A",
            "Vdi": "0",
            "OSBuildNum": "9600",
            "OSVersion": "6.3",
            "IsPortable": "0",
            "TotalPhysicalMemory": "6441984000",
            "IPXAddress": "N/A",
            "UserProperty7": " ",
            "UserProperty6": " ",
            "UserProperty5": " ",
            "UserProperty4": " ",
            "UserProperty3": " ",
            "UserProperty2": " ",
            "UserProperty1": " ",
            "ParentID": "8",
            "CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
            "UserProperty8": " "
        },
        "Entity": "1.1.1.1"
    }
]

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Jika berhasil untuk satu (is_success=true): Berhasil mengambil informasi sistem tentang endpoint berikut dari Trellix ePO: {entity.identifier} Jika tidak berhasil untuk satu (is_success=true): Tindakan tidak dapat mengambil informasi sistem tentang endpoint berikut dari Trellix ePO: {entity.identifier} Jika tidak berhasil untuk semua (is_success=false) Tidak ada informasi sistem yang ditemukan tentang endpoint yang diberikan. Jika error kritis: Terjadi error saat menjalankan tindakan "Dapatkan Informasi Sistem". Alasan: {error.traceback}	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Jika berhasil untuk satu (is_success=true):

Berhasil mengambil informasi sistem tentang endpoint berikut dari Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk satu (is_success=true):

Tindakan tidak dapat mengambil informasi sistem tentang endpoint berikut dari Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk semua (is_success=false)

Tidak ada informasi sistem yang ditemukan tentang endpoint yang diberikan.

Jika error kritis:

Terjadi error saat menjalankan tindakan "Dapatkan Informasi Sistem". Alasan: {error.traceback}

Umum

Mendapatkan Versi Agen Virus Engine

Deskripsi

Mengambil informasi versi agen Virus Engine dari endpoint di McAfee ePO. Entitas yang didukung: Nama host, IP.

Parameter

T/A

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
Versi Agen Mesin Antivirus	T/A	T/A

Hasil JSON

{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	jika berhasil untuk satu Berhasil mengambil informasi versi agen Virus Engine dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk satu Tindakan tidak dapat mengambil informasi versi agen Virus Engine dari endpoint berikut di Trellix ePO: {entity.identifier} jika tidak berhasil untuk semua Tidak ada informasi tentang versi agen Virus Engine yang ditemukan di endpoint yang diberikan. jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Get Virus Engine Agent Version". Alasan: {traceback}	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

jika berhasil untuk satu

Berhasil mengambil informasi versi agen Virus Engine dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk satu

Tindakan tidak dapat mengambil informasi versi agen Virus Engine dari endpoint berikut di Trellix ePO: {entity.identifier}

jika tidak berhasil untuk semua

Tidak ada informasi tentang versi agen Virus Engine yang ditemukan di endpoint yang diberikan.

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Get Virus Engine Agent Version". Alasan: {traceback}

Umum

Ping

Deskripsi

Uji konektivitas ke Trellix ePO dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.

Parameter

T/A

Kasus penggunaan

T/A

Run On

Tindakan ini dijalankan di semua entity.

Hasil Tindakan

Pengayaan Entity

T/A

Insight

T/A

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
null	T/A	T/A

Hasil JSON

N/A

Menghapus Tag

Deskripsi

Menghapus tag dari endpoint di Trellix ePO. Entitas yang didukung: Nama host, IP.

Parameter

Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Tag	String	T/A	Ya	Tentukan nama tag yang perlu dihapus dari endpoint.

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar/Salah	is_success:False

Hasil JSON

N/A

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Jika berhasil untuk satu (is_success=true): Berhasil menghapus tag "{tag name}" dari endpoint berikut di Trellix ePO: {entity.identifier} Jika tag bukan bagian dari endpoint: (is_success=true): Tag "{tag}" bukan bagian dari endpoint berikut di Trellix ePO: {entity.identifier} Jika tidak berhasil untuk satu (is_success=true) Tindakan tidak dapat menghapus tag "{tag name}" dari endpoint berikut di Trellix ePO: {entity.identifier} Jika tidak berhasil untuk semua (is_success=false): Tag "{tag} tidak dihapus dari endpoint yang diberikan". jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Hapus Tag". Alasan: {traceback} Jika tag tidak valid (gagal) Terjadi error saat menjalankan tindakan "Hapus Tag", Alasan: tag "{tag name}" tidak ditemukan di Trellix ePO.	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Jika berhasil untuk satu (is_success=true):

Berhasil menghapus tag "{tag name}" dari endpoint berikut

di Trellix ePO: {entity.identifier}

Jika tag bukan bagian dari endpoint: (is_success=true):

Tag "{tag}" bukan bagian dari endpoint berikut di Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk satu (is_success=true)

Tindakan tidak dapat menghapus tag "{tag name}" dari endpoint berikut di Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk semua (is_success=false):

Tag "{tag} tidak dihapus dari endpoint yang diberikan".

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Hapus Tag". Alasan: {traceback}

Jika tag tidak valid (gagal)

Terjadi error saat menjalankan tindakan "Hapus Tag", Alasan: tag "{tag name}" tidak ditemukan di Trellix ePO.

Umum

Menjalankan Pemindaian Penuh

Deskripsi

Jalankan pemindaian penuh pada endpoint yang disediakan di Trellix ePO. Entitas yang didukung: Nama host, IP.

Parameter

Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Tugas	String	Pemindaian On-Demand - Pemindaian Penuh	Ya	Tentukan tugas yang harus dijalankan untuk mendapatkan pemindaian penuh.

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
RunTask_Status	T/A	T/A

Hasil JSON

{
"status": "success" or "failure"
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Jika berhasil untuk satu: Berhasil menjalankan pemindaian penuh berdasarkan tugas "{task name}" di endpoint berikut di Trellix ePO: {entity.identifier} Jika tidak berhasil untuk salah satu: Tindakan tidak dapat menjalankan pemindaian penuh berdasarkan tugas "{task name}" di endpoint berikut di Trellix ePO: {entity.identifier} Jika tidak berhasil untuk semua: Pemindaian penuh tidak dijalankan di endpoint yang diberikan. jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Jalankan Pemindaian Penuh". Alasan: {error traceback} jika tugas tidak ditemukan (gagal): Terjadi error saat menjalankan tindakan "Jalankan Pemindaian Penuh". Alasan: Tugas "{task name}" tidak ditemukan di Trellix ePO. Periksa ejaan.	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Jika berhasil untuk satu:

Berhasil menjalankan pemindaian penuh berdasarkan tugas "{task name}" di endpoint berikut di Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk salah satu:

Tindakan tidak dapat menjalankan pemindaian penuh berdasarkan tugas "{task name}" di endpoint berikut di Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk semua:

Pemindaian penuh tidak dijalankan di endpoint yang diberikan.

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Jalankan Pemindaian Penuh". Alasan: {error traceback}

jika tugas tidak ditemukan (gagal):

Terjadi error saat menjalankan tindakan "Jalankan Pemindaian Penuh". Alasan: Tugas "{task name}" tidak ditemukan di Trellix ePO. Periksa ejaan.

Umum

Memperbarui McAfee Agent

Deskripsi

Perbarui McAfee Agent di endpoint yang disediakan di Trellix ePO. Task for Windows: DAT_Update_Windows_CWS. Tugas untuk Linux: DAT_Update_Linux_CWS. Entitas yang didukung: Hostname, IP.

Parameter

Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Tugas	String	DAT_Update_Windows_CWS	Ya	Tentukan tugas yang harus dijalankan untuk mengupdate McAfee Agent. Default untuk Windows adalah DAT_Update_Windows_CWS. Untuk Linux, file ini adalah DAT_Update_Linux_CWS

Run On

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Hasil Tindakan

Pengayaan Entity

T/A

Insight

T/A

Hasil Skrip

Nama Hasil Skrip	Opsi Nilai	Contoh
Update_Status	T/A	T/A

Hasil JSON

{
"status": "success" or "failure"
}

Repositori Kasus

Jenis Hasil	Nilai / Deskripsi	Jenis
Pesan output*	Jika berhasil untuk satu: Berhasil memperbarui agen berdasarkan tugas "{task name}" di endpoint berikut di Trellix ePO: {entity.identifier} Jika tidak berhasil untuk salah satu: Action tidak dapat memperbarui agen berdasarkan tugas "{task name}" di endpoint berikut di Trellix ePO: {entity.identifier} Jika tidak berhasil untuk semua: Tidak ada agen yang diperbarui. jika error kritis (gagal): Terjadi error saat menjalankan tindakan "Update McAfee Agent". Alasan: {error traceback} jika tugas tidak ditemukan (gagal): Terjadi error saat menjalankan tindakan "Update McAfee Agent". Alasan: Tugas "{task name}" tidak ditemukan di Trellix ePO. Periksa ejaan.	Umum

Jenis Hasil

Nilai / Deskripsi

Jenis

Pesan output*

Jika berhasil untuk satu:

Berhasil memperbarui agen berdasarkan tugas "{task name}" di endpoint berikut di Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk salah satu:

Action tidak dapat memperbarui agen berdasarkan tugas "{task name}" di endpoint berikut di Trellix ePO: {entity.identifier}

Jika tidak berhasil untuk semua:

Tidak ada agen yang diperbarui.

jika error kritis (gagal):

Terjadi error saat menjalankan tindakan "Update McAfee Agent". Alasan: {error traceback}

jika tugas tidak ditemukan (gagal):

Terjadi error saat menjalankan tindakan "Update McAfee Agent". Alasan: Tugas "{task name}" tidak ditemukan di Trellix ePO. Periksa ejaan.

Umum

Konektor

McAfee EPO - Threats Connector

Deskripsi

Tarik peristiwa dari tabel EPOEvents ke Google SecOps. Daftar yang diizinkan berfungsi dengan nama Analyzer.

Mengonfigurasi McAfee EPO - Threats Connector di Google SecOps

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib Diisi	Deskripsi
Nama Kolom Produk	String	Nama Produk	Ya	Masukkan nama kolom sumber untuk mengambil nama Kolom Produk.
Nama Kolom Peristiwa	String	EPOEvents_ThreatType	Ya	Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa.
Nama Kolom Lingkungan	String	""	Tidak	Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default.
Pola Regex Lingkungan	String	.*	Tidak	Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik)	Bilangan bulat	180	Ya	Batas waktu untuk proses python yang menjalankan skrip saat ini.
Root API	String	http://x.x.x.x:8443/remote/	Ya	Root API instance Trellix ePO.
Nama pengguna	String	T/A	Ya	Nama pengguna instance Trellix ePO.
Sandi	Sandi		Ya	Sandi instance Trellix ePO.
Nama Grup	String		Tidak	Jika diberikan, konektor hanya akan mengambil ancaman dari endpoint yang merupakan bagian dari grup tersebut.
Maks. Jam Mundur	Bilangan bulat	1	Tidak	Jumlah jam dari tempat pengambilan peristiwa.
Jumlah Maksimum Peristiwa yang Akan Diambil	Bilangan bulat	10	Tidak	Jumlah peristiwa yang akan diproses per satu iterasi konektor. Default: 10.
Tingkat Keparahan Terendah yang Akan Diambil	String	Sedang	Tidak	Tingkat keparahan terendah dari peristiwa yang akan diambil. Secara default, konektor akan menyerap semua peristiwa. Nilai yang Mungkin: Info, Rendah, Sedang, Tinggi, Kritis.
Menggunakan daftar yang diizinkan sebagai daftar blokir	Kotak centang	Dicentang	Ya	Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir.
Verifikasi SSL	Kotak centang	Tidak dicentang	Ya	Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Trellix ePO valid.
File Sertifikat CA	String	T/A	Salah	File sertifikat CA yang dienkode Base 64.
Alamat Server Proxy	String	T/A	Tidak	Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy	String	T/A	Tidak	Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy	Sandi		Tidak	Sandi proxy untuk mengautentikasi.

Aturan Konektor

Dukungan Proxy

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.