McAfee ePO
Versione integrazione: 31.0
Configurare l'integrazione di McAfee ePO in Google Security Operations
Configurare l'integrazione di McAfee ePO con un certificato CA
Se necessario, puoi verificare la connessione con un file del certificato CA.
Prima di iniziare, assicurati di avere quanto segue:
- Il file del certificato CA
- L'ultima versione dell'integrazione di McAfee ePO
Per configurare l'integrazione con un certificato CA, completa i seguenti passaggi:
- Analizza il file del certificato CA in una stringa Base64.
- Apri la pagina dei parametri di configurazione dell'integrazione.
- Inserisci la stringa nel campo File certificato CA.
- Per verificare che l'integrazione sia configurata correttamente, seleziona la casella di controllo Verifica SSL e fai clic su Test.
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Indirizzo del server | Stringa | https://<ServerAddress>:8443/remote/ | Sì | Indirizzo server di Trellix ePO. Esempio: https://127.0.0.1:8443/remote/ |
| Nome utente | Stringa | N/D | Sì | Il nome utente per l'autenticazione del server. |
| Password | Password | N/D | Sì | La password per l'autenticazione del server. |
| Nome gruppo | Stringa | N/D | No | Il nome del gruppo. |
| File del certificato CA analizzato in una stringa Base64 | Stringa | N/D | No | N/D |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Aggiungi etichetta
Descrizione
Aggiungi un tag a un endpoint in Trellix ePO. Nota: puoi applicare solo i tag esistenti nel sistema. Entità supportate: nome host, IP.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome tag | Stringa | N/D | Sì | Specifica il nome del tag da aggiungere agli endpoint. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione ha esito positivo (is_success=true): Tag "{tag name}" aggiunto correttamente ai seguenti endpoint in Trellix ePO: {entity.identifier} Se il tag fa già parte dell'endpoint: (is_success=true): Il tag "{tag}" faceva già parte dei seguenti endpoint in Trellix ePO: {entity.identifier} If not success for one (is_success=true) L'azione non è riuscita ad aggiungere il tag "{tag name}" ai seguenti endpoint in Trellix ePO: {entity.identifier} Se l'operazione non è riuscita per tutti (is_success=false): Il tag "{tag} non è stato aggiunto agli endpoint forniti". if critical error (fail): Errore durante l'esecuzione dell'azione "Aggiungi tag". Motivo: {traceback} Se il tag non è valido (errore) Errore durante l'esecuzione dell'azione "Aggiungi tag". Motivo: il tag "{tag name}" non è stato trovato in Trellix ePO. |
Generale |
Confronto tra DAT server e agent
Descrizione
Recupera le informazioni DAT del server e dell'agente dagli endpoint in Trellix ePO. Entità supportate: nome host, IP.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| Alert.DstPort | Restituisce se esiste nel risultato JSON |
| Rule.msg | Restituisce se esiste nel risultato JSON |
| Alert.IPSIDAlertID | Restituisce se esiste nel risultato JSON |
| Alert.SrcIP | Restituisce se esiste nel risultato JSON |
| Alert.LastTime | Restituisce se esiste nel risultato JSON |
| Alert.Protocol | Restituisce se esiste nel risultato JSON |
| Alert.SrcPort | Restituisce se esiste nel risultato JSON |
| Alert.DstIP | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| null | N/D | N/D |
Risultato JSON
{
"server_version": {server_version}
"dat_version": {dat_version}
"equal": true → if server_version == dat_version, else false
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | se il successo di uno Recupero riuscito delle informazioni DAT del server e dell'agente dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for one L'azione non è riuscita a recuperare le informazioni DAT del server e dell'agente dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for all Non sono state trovate informazioni sul DAT di server e agenti sugli endpoint forniti. if critical error (fail): Errore durante l'esecuzione dell'azione "Confronta DAT server e agente". Motivo: {traceback} |
Generale |
Recupera informazioni sull'agente
Descrizione
Recupera informazioni sugli agenti dell'endpoint da Trellix ePO. Entità supportate: Nome host, IP.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| EPO_LastUpdate | Restituisce se esiste nel risultato JSON |
| EPO_ManagedState | Restituisce se esiste nel risultato JSON |
| EPO_Tags | Restituisce se esiste nel risultato JSON |
| EPO_ExcludedTags | Restituisce se esiste nel risultato JSON |
| EPO_AgentVersion | Restituisce se esiste nel risultato JSON |
| EPO_AgentGUID | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}
]
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione ha esito positivo (is_success=true): Recupero riuscito delle informazioni sull'agente relative ai seguenti endpoint in Trellix ePO: {entity.identifier} If not success for one (is_success=true) L'azione non è riuscita a recuperare le informazioni sull'agente relative ai seguenti endpoint in Trellix ePO: {entity.identifier} Se l'operazione non è riuscita per tutti (is_success=false): Non sono state trovate informazioni sull'agenda per gli host forniti. if critical error (fail): Errore durante l'esecuzione dell'azione "Ottieni informazioni sull'agente". Motivo: {traceback} |
Generale |
Get Dat Version
Descrizione
Recuperare le informazioni DAT dagli endpoint in Trellix ePO. Entità supportate: Nome host, IP.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Dat Version | N/D | N/D |
Risultato JSON
{
"DAT_version": {DAT version}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | se il successo di uno Recupero riuscito delle informazioni DAT dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for one L'azione non è riuscita a recuperare le informazioni DAT dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for all Non sono state trovate informazioni su DAT sugli endpoint forniti. if critical error (fail): Errore durante l'esecuzione dell'azione "Get Dat Version". Motivo: {traceback} |
Generale |
Get Events for Hash
Descrizione
Recuperare informazioni sugli eventi correlati agli hash. Nota: sono supportati solo gli hash MD5.
Parametri
| Nome | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Recupera eventi dalla tabella EPExtendedEvent | Casella di controllo | Deselezionata | No | Se abilitata, l'azione utilizzerà anche la tabella "EPExtendedEvent" per trovare informazioni sugli hash. |
| Contrassegna come sospetto | Casella di controllo | Sì | Falso | Se abilitata, l'azione contrassegnerà come sospetti tutti gli hash per i quali sono stati trovati eventi. |
| Crea approfondimento | Casella di controllo | No | Falso | Se attivata, l'azione creerà un approfondimento contenente informazioni sugli hash a cui sono associati eventi. |
| Campi da restituire | CSV | EPOEvents.ThreatName, |
Falso | Specifica i campi da restituire. Se non viene specificato nulla, l'azione restituirà tutti i campi disponibili. |
| Campo di ordinamento | Stringa | N/D | Falso | Specifica il campo da utilizzare per l'ordinamento dei risultati. |
| Ordinamento | DDL | CRESC Valori possibili: CRESC DECR |
Falso | Specifica l'ordine di ordinamento da applicare alla query. |
| Intervallo di tempo | DDL | Ultima ora Valori possibili: Ultima ora Ultime 6 ore Ultime 24 ore Settimana scorsa Mese scorso Personalizzato |
Falso | Specifica un periodo di tempo per gli eventi. Se è selezionata l'opzione "Personalizzato", devi fornire anche l'"Ora di inizio". |
| Ora di inizio | Stringa | N/D | Falso | Specifica l'ora di inizio degli eventi. Questo parametro è obbligatorio se è selezionato "Personalizzato" per il parametro "Intervallo di tempo". Formato: ISO 8601 |
| Ora di fine | Stringa | N/D | Falso | Specifica l'ora di fine degli eventi. Formato: ISO 8601. Se non viene fornito alcun valore e viene selezionato "Personalizzato" per il parametro "Intervallo di tempo", questo parametro utilizzerà l'ora corrente. |
| Numero massimo di eventi da restituire | Numero intero | 50 | Falso | Specifica il numero di eventi da restituire. Valore predefinito: 50. |
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| EPOEvents.ThreatCategory | Restituisce se esiste nel risultato JSON |
| EPOEvents.TargetUserName | Restituisce se esiste nel risultato JSON |
| EPOEvents.TargetPort | Restituisce se esiste nel risultato JSON |
| EPOEvents.TargetFileName | Restituisce se esiste nel risultato JSON |
| EPOEvents.TargetIPV4 | Restituisce se esiste nel risultato JSON |
| EPO_AgentGUID | Restituisce se esiste nel risultato JSON |
Approfondimenti
L'approfondimento verrà creato per gli eventi trovati in Trellix ePO per l'hash corrente.
Risultato JSON
[
{
"EntityResult":
[
{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}
]
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine e i risultati sono disponibili: (is_success=true) "Successfully returned available events for the following hashes in Trellix ePO: {entity.identifier}" (Restituiti correttamente gli eventi disponibili per i seguenti hash in Trellix ePO: {entity.identifier}) If not successful for one: (is_success=true) "Action wasn't able to find events for the following hashes in Trellix ePO: {entity.identifier}" (L'azione non è riuscita a trovare eventi per i seguenti hash in Trellix ePO: {entity.identifier}) Se l'operazione non è riuscita per tutti (is_success=false): "Non sono stati trovati eventi per gli endpoint forniti in Trellix ePO." Se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro (errore): "Errore durante l'esecuzione dell'azione "Recupera minacce endpoint". Motivo: {0}''.format(error.Stacktrace) Se nella risposta è presente un errore (esito negativo): "Error executing action "Execute Entity Query". Motivo: {0}''.format( response text) Se l'ora di inizio è vuota, quando "Intervallo di tempo" è "Personalizzato" (errore): "Errore durante l'esecuzione dell'azione "Recupera minacce endpoint". Motivo: "Ora di inizio" deve essere fornita quando "Personalizzato" è selezionato nel parametro "Intervallo di tempo". |
Generale |
Get Host IPs Status
Descrizione
Recupera le informazioni IPS dagli endpoint in Trellix ePO. Entità supportate: Nome host, IP.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_status_received | Vero/Falso | is_status_received:False |
Risultato JSON
{
"IPS_status": {IPS_status}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | se il successo di uno Recupero riuscito delle informazioni IPS dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for one L'azione non è riuscita a recuperare le informazioni IPS dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for all Non sono state trovate informazioni su IPS sugli endpoint forniti. if critical error (fail): Errore durante l'esecuzione dell'azione "Get Host IPS Status". Motivo: {traceback} |
Generale |
Get Host Network IPs Status
Descrizione
Recupera le informazioni su Network IPS dagli endpoint in Trellix ePO. Entità supportate: Nome host, IP.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_status_received | Vero/Falso | is_status_received:False |
Risultato JSON
{
"Network_IPS_status": {Network_IPS_status}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | se il successo di uno Recupero riuscito delle informazioni su Network IPS dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for one L'azione non è riuscita a recuperare le informazioni su Network IPS dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for all Non sono state trovate informazioni su Network IPS sugli endpoint forniti. if critical error (fail): Errore durante l'esecuzione dell'azione "Get Host Network IPS Status". Motivo: {traceback} |
Generale |
Get Last Communication Time
Descrizione
Recupera le informazioni sull'ultima ora di comunicazione dagli endpoint in Trellix ePO. Entità supportate: nome host, IP.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| isSuccess | Vero/Falso | isSuccess:False |
Risultato JSON
{
"last_communication_time": {last_communication_time}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | se il successo di uno Recupero riuscito delle informazioni sull'ora dell'ultima comunicazione dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for one L'azione non è riuscita a recuperare le informazioni sull'ora dell'ultima comunicazione dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for all Non sono state trovate informazioni sull'ora dell'ultima comunicazione sugli endpoint forniti. if critical error (fail): Errore durante l'esecuzione dell'azione "Ottieni ora dell'ultima comunicazione". Motivo: {traceback} |
Generale |
Recupera la versione dell'agente McAfee ePO
Descrizione
Recupera le informazioni sulla versione dell'agente dagli endpoint in Trellix ePO. Entità supportate: nome host, IP.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Versione di McAfee Agent | N/D | N/D |
Risultato JSON
{
"ePO_agent_version": ePO_agent_version
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | se il successo di uno Recuperate correttamente le informazioni sulla versione dell'agente dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for one L'azione non è riuscita a recuperare le informazioni sulla versione dell'agente dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for all Non sono state trovate informazioni sulla versione dell'agente sugli endpoint forniti. if critical error (fail): Errore durante l'esecuzione dell'azione "Ottieni ora dell'ultima comunicazione". Motivo: {traceback} |
Generale |
Ottenere informazioni sul sistema
Descrizione
Restituisce informazioni di sistema sugli endpoint da Trellix ePO. Entità supportate: Nome host, IP.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Crea approfondimento | Casella di controllo | Casella di controllo selezionata | Se attivata, l'azione creerà un approfondimento contenente informazioni sull'endpoint. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| FreeDiskSpace | Restituisce se esiste nel risultato JSON |
| Nome utente | Restituisce se esiste nel risultato JSON |
| DomainName | Restituisce se esiste nel risultato JSON |
| LastAgentHandler | Restituisce se esiste nel risultato JSON |
| IPV4x | Restituisce se esiste nel risultato JSON |
| OSBitMode | Restituisce se esiste nel risultato JSON |
| IPV6 | Restituisce se esiste nel risultato JSON |
| OSType | Restituisce se esiste nel risultato JSON |
| SysvolFreeSpace | Restituisce se esiste nel risultato JSON |
| IPHostName | Restituisce se esiste nel risultato JSON |
| CPUSerialNum | Restituisce se esiste nel risultato JSON |
| IPSubnetMask | Restituisce se esiste nel risultato JSON |
| SysvolTotalSpace | Restituisce se esiste nel risultato JSON |
| IPSubnet | Restituisce se esiste nel risultato JSON |
| Descrizione | Restituisce se esiste nel risultato JSON |
| FreeMemory | Restituisce se esiste nel risultato JSON |
| CPUSpeed | Restituisce se esiste nel risultato JSON |
| SubnetMask | Restituisce se esiste nel risultato JSON |
| IPAddress | Restituisce se esiste nel risultato JSON |
| DefaultLangID | Restituisce se esiste nel risultato JSON |
| OSPlatform | Restituisce se esiste nel risultato JSON |
| NetAddress | Restituisce se esiste nel risultato JSON |
| TotalDiskSpace | Restituisce se esiste nel risultato JSON |
| SubnetAddress | Restituisce se esiste nel risultato JSON |
| NumOfCPU | Restituisce se esiste nel risultato JSON |
| TimeZone | Restituisce se esiste nel risultato JSON |
| SystemDescription | Restituisce se esiste nel risultato JSON |
| Vdi | Restituisce se esiste nel risultato JSON |
| OSBuildNum | Restituisce se esiste nel risultato JSON |
| OSVersion | Restituisce se esiste nel risultato JSON |
| IsPortable | Restituisce se esiste nel risultato JSON |
| TotalPhysicalMemory | Restituisce se esiste nel risultato JSON |
| IPXAddress | Restituisce se esiste nel risultato JSON |
| UserProperty7 | Restituisce se esiste nel risultato JSON |
| ParentID | Restituisce se esiste nel risultato JSON |
| CPUType | Restituisce se esiste nel risultato JSON |
Approfondimenti
.png?hl=it)
Risultato JSON
[
{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": " ",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": " ",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": " ",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": " ",
"UserProperty6": " ",
"UserProperty5": " ",
"UserProperty4": " ",
"UserProperty3": " ",
"UserProperty2": " ",
"UserProperty1": " ",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": " "
},
"Entity": "1.1.1.1"
}
]
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine per uno (is_success=true): Recupero riuscito delle informazioni di sistema sui seguenti endpoint da Trellix ePO: {entity.identifier} Se non è andato a buon fine per uno (is_success=true): L'azione non è riuscita a recuperare le informazioni di sistema sui seguenti endpoint da Trellix ePO: {entity.identifier} If not successful for all (is_success=false) Non sono state trovate informazioni di sistema sugli endpoint forniti. Se si verifica un errore critico: Errore durante l'esecuzione dell'azione "Recupera informazioni di sistema". Motivo: {error.traceback} |
Generale |
Get Virus Engine Agent Version
Descrizione
Recupera le informazioni sulla versione dell'agente Virus Engine dagli endpoint in McAfee ePO. Entità supportate: nome host, IP.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Versione dell'agente del motore antivirus | N/D | N/D |
Risultato JSON
{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | se il successo di uno Recuperate correttamente le informazioni sulla versione dell'agente Virus Engine dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for one L'azione non è riuscita a recuperare le informazioni sulla versione dell'agente Virus Engine dai seguenti endpoint in Trellix ePO: {entity.identifier} if not success for all Non sono state trovate informazioni sulla versione dell'agente Virus Engine sugli endpoint forniti. if critical error (fail): Errore durante l'esecuzione dell'azione "Get Virus Engine Agent Version". Motivo: {traceback} |
Generale |
Dindin
Descrizione
Testa la connettività a Trellix ePO con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| null | N/D | N/D |
Risultato JSON
N/A
Rimuovi tag
Descrizione
Rimuovi un tag da un endpoint in Trellix ePO. Entità supportate: nome host, IP.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome tag | Stringa | N/D | Sì | Specifica il nome del tag da rimuovere dagli endpoint. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione ha esito positivo (is_success=true): Il tag "{tag name}" è stato rimosso dai seguenti endpoint in Trellix ePO: {entity.identifier} Se il tag non fa parte dell'endpoint: (is_success=true): Il tag "{tag}" non faceva parte dei seguenti endpoint in Trellix ePO: {entity.identifier} If not success for one (is_success=true) L'azione non è riuscita a rimuovere il tag "{tag name}" dai seguenti endpoint in Trellix ePO: {entity.identifier} Se l'operazione non è riuscita per tutti (is_success=false): Il tag "{tag} non è stato rimosso dagli endpoint forniti". if critical error (fail): Errore durante l'esecuzione dell'azione "Rimuovi tag". Motivo: {traceback} Se il tag non è valido (errore) Errore durante l'esecuzione dell'azione "Rimuovi tag". Motivo: il tag "{tag name}" non è stato trovato in Trellix ePO. |
Generale |
Esegui scansione completa
Descrizione
Esegui la scansione completa degli endpoint forniti in Trellix ePO. Entità supportate: Nome host, IP.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome attività | Stringa | Scansione on demand - Scansione completa | Sì | Specifica l'attività da eseguire per ottenere una scansione completa. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| RunTask_Status | N/D | N/D |
Risultato JSON
{
"status": "success" or "failure"
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine per uno: Scansione completa eseguita correttamente in base all'attività "{task name}" sui seguenti endpoint in Trellix ePO: {entity.identifier} Se non va a buon fine per uno: L'azione non è stata in grado di eseguire la scansione completa in base all'attività "{task name}" sui seguenti endpoint in Trellix ePO: {entity.identifier} Se non è andato a buon fine per tutti: La scansione completa non è stata eseguita sugli endpoint forniti. if critical error (fail): Errore durante l'esecuzione dell'azione "Esegui scansione completa". Motivo: {error traceback} if task is not found (fail): Errore durante l'esecuzione dell'azione "Esegui scansione completa". Motivo: l'attività "{task name}" non è stata trovata in Trellix ePO. Controlla l'ortografia. |
Generale |
Aggiorna McAfee Agent
Descrizione
Aggiorna McAfee Agent sugli endpoint forniti in Trellix ePO. Attività per Windows: DAT_Update_Windows_CWS. Attività per Linux: DAT_Update_Linux_CWS. Entità supportate: Nome host, IP.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome attività | Stringa | DAT_Update_Windows_CWS | Sì | Specifica l'attività da eseguire per aggiornare McAfee Agent. Il valore predefinito per Windows è DAT_Update_Windows_CWS. Per Linux, DAT_Update_Linux_CWS |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| Update_Status | N/D | N/D |
Risultato JSON
{
"status": "success" or "failure"
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine per uno: Agenti aggiornati correttamente in base all'attività "{task name}" sui seguenti endpoint in Trellix ePO: {entity.identifier} Se non va a buon fine per uno: L'azione non è riuscita ad aggiornare l'agente in base all'attività "{task name}" sui seguenti endpoint in Trellix ePO: {entity.identifier} Se non è andato a buon fine per tutti: Nessun agente è stato aggiornato. if critical error (fail): Errore durante l'esecuzione dell'azione "Aggiorna McAfee Agent". Motivo: {error traceback} if task is not found (fail): Errore durante l'esecuzione dell'azione "Aggiorna McAfee Agent". Motivo: l'attività "{task name}" non è stata trovata in Trellix ePO. Controlla l'ortografia. |
Generale |
Connettore
McAfee EPO - Threats Connector
Descrizione
Estrai gli eventi dalla tabella EPOEvents in Google SecOps. La lista consentita funziona con i nomi degli analizzatori.
Configura il connettore McAfee EPO - Threats in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | EPOEvents_ThreatType | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | http://x.x.x.x:8443/remote/ | Sì | Radice dell'API dell'istanza Trellix ePO. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'istanza Trellix ePO. |
| Password | Password | Sì | Password dell'istanza di Trellix ePO. | |
| Nome gruppo | Stringa | No | Se fornito, il connettore recupererà solo le minacce dagli endpoint che fanno parte di quel gruppo. | |
| Ore massime indietro | Numero intero | 1 | No | Numero di ore da cui recuperare gli eventi. |
| Numero massimo di eventi da recuperare | Numero intero | 10 | No | Numero di eventi da elaborare per un'iterazione del connettore. Valore predefinito: 10. |
| Gravità minima da recuperare | Stringa | Media | No | La gravità minima degli eventi da recuperare. Per impostazione predefinita, il connettore acquisisce tutti gli eventi. Valori possibili: Informazioni, Basso, Medio, Alto, Critico. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Selezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Trellix ePO sia valido. |
| File del certificato CA | Stringa | N/D | Falso | File del certificato CA con codifica Base64. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.