McAfee ePO
統合バージョン: 31.0
Google Security Operations で McAfee ePO の統合を構成する
CA 証明書を使用して McAfee ePO との統合を構成する
必要に応じて、CA 証明書ファイルを使用して接続を確認できます。
始める前に、次のものが揃っていることを確認してください。
- CA 証明書ファイル
- McAfee ePO 統合の最新バージョン
CA 証明書を使用して統合を構成するには、次の操作を行います。
- CA 証明書ファイルを Base64 文字列に解析します。
- インテグレーション構成パラメータのページを開きます。
- 文字列を [CA 証明書ファイル] フィールドに挿入します。
- 統合が正常に構成されていることをテストするには、[SSL を検証] チェックボックスをオンにして、[テスト] をクリックします。
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| サーバー アドレス | 文字列 | https://<ServerAddress>:8443/remote/ | はい | Trellix ePO のサーバー アドレス。例: https://127.0.0.1:8443/remote/ |
| ユーザー名 | 文字列 | なし | はい | サーバー認証用のユーザー名。 |
| パスワード | パスワード | なし | はい | サーバー認証用のパスワード。 |
| グループ名 | 文字列 | なし | いいえ | グループの名前 |
| CA 証明書ファイル - Base64 文字列に解析 | 文字列 | なし | いいえ | なし |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
操作
タグを追加
説明
Trellix ePO のエンドポイントにタグを追加します。注: 適用できるのは、システムに存在するタグのみです。サポートされるエンティティ: ホスト名、IP。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タグ名 | 文字列 | なし | はい | エンドポイントに追加する必要があるタグの名前を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 1 つが成功した場合(is_success=true): 次のエンドポイントにタグ「{タグ名}」を追加しました Trellix ePO: {entity.identifier} タグがすでにエンドポイントの一部である場合:(is_success=true): タグ「{tag}」は、Trellix ePO の次のエンドポイントにすでに含まれています: {entity.identifier} 1 つが成功しなかった場合(is_success=true) Trellix ePO の次のエンドポイントにタグ「{tag name}」を追加できませんでした: {entity.identifier} すべてが成功しなかった場合(is_success=false): 「タグ「{tag}」は指定されたエンドポイントに追加されませんでした。」 重大なエラーが発生した場合(失敗): 「タグを追加」アクションの実行中にエラーが発生しました。理由: {traceback} 無効なタグの場合(失敗) アクション「タグを追加」の実行中にエラーが発生しました。理由: タグ「{タグ名}」が Trellix ePO に見つかりませんでした。 |
全般 |
Server DAT と Agent DAT を比較する
説明
Trellix ePO のエンドポイントからサーバーとエージェントの DAT 情報を取得します。サポートされるエンティティ: ホスト名、IP。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| Alert.DstPort | JSON の結果に存在する場合に返します。 |
| Rule.msg | JSON の結果に存在する場合に返します。 |
| Alert.IPSIDAlertID | JSON の結果に存在する場合に返します。 |
| Alert.SrcIP | JSON の結果に存在する場合に返します。 |
| Alert.LastTime | JSON の結果に存在する場合に返します。 |
| Alert.Protocol | JSON の結果に存在する場合に返します。 |
| Alert.SrcPort | JSON の結果に存在する場合に返します。 |
| Alert.DstIP | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
{
"server_version": {server_version}
"dat_version": {dat_version}
"equal": true → if server_version == dat_version, else false
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | if success for one Trellix ePO の次のエンドポイントからサーバーとエージェントの DAT 情報を正常に取得しました: {entity.identifier} 1 つの成功ではない場合 アクションによって、Trellix ePO の次のエンドポイントからサーバーとエージェントの DAT 情報を取得できませんでした: {entity.identifier} すべてが成功しなかった場合 指定されたエンドポイントで、サーバーとエージェントの DAT に関する情報が見つかりませんでした。 重大なエラーが発生した場合(失敗): 「サーバーとエージェントの DAT を比較」アクションの実行中にエラーが発生しました。理由: {traceback} |
全般 |
エージェント情報を取得する
説明
Trellix ePO からエンドポイントのエージェントに関する情報を取得します。サポートされるエンティティ: ホスト名、IP。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| EPO_LastUpdate | JSON の結果に存在する場合に返す |
| EPO_ManagedState | JSON の結果に存在する場合に返す |
| EPO_Tags | JSON の結果に存在する場合に返す |
| EPO_ExcludedTags | JSON の結果に存在する場合に返す |
| EPO_AgentVersion | JSON の結果に存在する場合に返す |
| EPO_AgentGUID | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 1 つが成功した場合(is_success=true): Trellix ePO で次のエンドポイントに関するエージェント情報が正常に取得されました: {entity.identifier} 1 つが成功しなかった場合(is_success=true) アクションによって、Trellix ePO で次のエンドポイントに関するエージェント情報を取得できませんでした: {entity.identifier} すべてが成功しなかった場合(is_success=false): 指定されたホストの議題情報が見つかりませんでした。 重大なエラーが発生した場合(失敗): アクション「エージェント情報を取得」の実行中にエラーが発生しました。理由: {traceback} |
全般 |
Get Dat Version
説明
Trellix ePO のエンドポイントから DAT 情報を取得します。サポートされるエンティティ: ホスト名、IP。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| Dat バージョン | なし | なし |
JSON の結果
{
"DAT_version": {DAT version}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | if success for one Trellix ePO の次のエンドポイントから DAT 情報を正常に取得しました: {entity.identifier} 1 つの成功ではない場合 アクションによって、Trellix ePO の次のエンドポイントから DAT 情報を取得できませんでした: {entity.identifier} すべてが成功しなかった場合 指定されたエンドポイントで DAT に関する情報が見つかりませんでした。 重大なエラーが発生した場合(失敗): アクション「DAT バージョンを取得」の実行中にエラーが発生しました。理由: {traceback} |
全般 |
ハッシュのイベントを取得する
説明
ハッシュに関連するイベントに関する情報を取得します。注: MD5 ハッシュのみがサポートされています。
パラメータ
| 名前 | 型 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| EPExtendedEvent テーブルからイベントを取得する | チェックボックス | オフ | いいえ | 有効にすると、アクションは「EPExtendedEvent」テーブルを使用してハッシュに関する情報も検索します。 |
| 不審としてマーク | チェックボックス | はい | 誤り | 有効にすると、イベントが検出されたすべてのハッシュが不審としてマークされます。 |
| インサイトの作成 | チェックボックス | いいえ | 誤り | 有効にすると、アクションによって、どのハッシュに関連付けられたイベントがあるかに関する情報を含む分析情報が作成されます。 |
| 返されるフィールド | CSV | EPOEvents.ThreatName, |
誤り | 返すフィールドを指定します。何も指定しないと、アクションは使用可能なすべてのフィールドを返します。 |
| フィールドの並べ替え | 文字列 | なし | 誤り | 結果の並べ替えに使用するフィールドを指定します。 |
| 並べ替え順序 | DDL | 昇順 有効な値: 昇順 DESC |
誤り | クエリに適用する並べ替え順序を指定します。 |
| 期間 | DDL | Last Hour 有効な値: Last Hour 過去 6 時間 過去 24 時間 先週 先月 カスタム |
誤り | イベントの時間枠を指定します。「カスタム」を選択した場合は、「開始時刻」も指定する必要があります。 |
| 開始時刻 | 文字列 | なし | 誤り | イベントの開始時刻を指定します。[期間] パラメータに [カスタム] が選択されている場合、このパラメータは必須です。形式: ISO 8601 |
| 終了時刻 | 文字列 | なし | 誤り | イベントの終了時刻を指定します。形式: ISO 8601。何も指定されず、「期間」パラメータで「カスタム」が選択されている場合、このパラメータは現在の時刻を使用します。 |
| 返されるイベントの最大数 | 整数 | 50 | 誤り | 返すイベントの数を指定します。デフォルト: 50。 |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| EPOEvents.ThreatCategory | JSON の結果に存在する場合に返す |
| EPOEvents.TargetUserName | JSON の結果に存在する場合に返す |
| EPOEvents.TargetPort | JSON の結果に存在する場合に返す |
| EPOEvents.TargetFileName | JSON の結果に存在する場合に返す |
| EPOEvents.TargetIPV4 | JSON の結果に存在する場合に返す |
| EPO_AgentGUID | JSON の結果に存在する場合に返す |
分析情報
現在のハッシュについて Trellix ePO で検出されたイベントの分析情報が作成されます。
JSON の結果
[
{
"EntityResult":
[
{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功し、結果が利用可能な場合:(is_success=true) 「Successfully returned available events for the following hashes in Trellix ePO: {entity.identifier}」 1 つが成功しなかった場合:(is_success=true) 「アクションは Trellix ePO で次のハッシュのイベントを見つけることができませんでした: {entity.identifier}」 すべてが成功しなかった場合(is_success=false): 「Trellix ePO で指定されたエンドポイントにイベントが見つかりませんでした。」 認証情報が誤っている、サーバーに接続できないなどの致命的なエラーが発生した場合(失敗): 「エンドポイントの脅威を取得するアクションの実行中にエラーが発生しました。理由: {0}」.format(error.Stacktrace) レスポンスにエラーがある場合(失敗): 「アクション「エンティティ クエリを実行」の実行エラー。理由: {0}」.format( レスポンス テキスト) 「期間」が「カスタム」の場合に「開始時刻」が空の場合(失敗): 「アクション「エンドポイントの脅威を取得」の実行エラー。理由: 「期間」パラメータで「カスタム」が選択されている場合は、「開始時刻」を指定する必要があります。 |
全般 |
ホスト IP のステータスを取得する
説明
Trellix ePO のエンドポイントから IPS 情報を取得します。サポートされるエンティティ: ホスト名、IP。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_status_received | True/False | is_status_received:False |
JSON の結果
{
"IPS_status": {IPS_status}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | if success for one Trellix ePO の次のエンドポイントから IPS 情報を正常に取得しました: {entity.identifier} 1 つの成功ではない場合 アクションは、Trellix ePO の次のエンドポイントから IPS 情報を取得できませんでした: {entity.identifier} すべてが成功しなかった場合 指定されたエンドポイントで IPS に関する情報が見つかりませんでした。 重大なエラーが発生した場合(失敗): 「ホスト IPS ステータスの取得」アクションの実行中にエラーが発生しました。理由: {traceback} |
全般 |
ホスト ネットワーク IP のステータスを取得する
説明
Trellix ePO のエンドポイントからネットワーク IPS 情報を取得します。サポートされるエンティティ: ホスト名、IP。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_status_received | True/False | is_status_received:False |
JSON の結果
{
"Network_IPS_status": {Network_IPS_status}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | if success for one Trellix ePO の次のエンドポイントからネットワーク IPS 情報を正常に取得しました: {entity.identifier} 1 つの成功ではない場合 アクションは、Trellix ePO の次のエンドポイントからネットワーク IPS 情報を取得できませんでした: {entity.identifier} すべてが成功しなかった場合 指定されたエンドポイントでネットワーク IPS に関する情報が見つかりませんでした。 重大なエラーが発生した場合(失敗): アクション「ホスト ネットワーク IPS ステータスの取得」の実行中にエラーが発生しました。理由: {traceback} |
全般 |
Get Last Communication Time
説明
Trellix ePO のエンドポイントから最終通信時間に関する情報を取得します。サポートされるエンティティ: ホスト名、IP。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| isSuccess | True/False | isSuccess:False |
JSON の結果
{
"last_communication_time": {last_communication_time}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | if success for one Trellix ePO の次のエンドポイントから最後の通信時刻情報を正常に取得しました: {entity.identifier} 1 つの成功ではない場合 アクションは、Trellix ePO の次のエンドポイントから最後の通信時刻情報を取得できませんでした: {entity.identifier} すべてが成功しなかった場合 指定されたエンドポイントで、最後の通信時間に関する情報が見つかりませんでした。 重大なエラーが発生した場合(失敗): アクション「最終通信時刻を取得」の実行中にエラーが発生しました。理由: {traceback} |
全般 |
McAfee Epo エージェントのバージョンを取得する
説明
Trellix ePO のエンドポイントからエージェントのバージョンに関する情報を取得します。サポートされるエンティティ: ホスト名、IP。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| McAfee Agent のバージョン | なし | なし |
JSON の結果
{
"ePO_agent_version": ePO_agent_version
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | if success for one Trellix ePO の次のエンドポイントからエージェント バージョン情報が正常に取得されました: {entity.identifier} 1 つの成功ではない場合 アクションは、Trellix ePO の次のエンドポイントからエージェント バージョン情報を取得できませんでした: {entity.identifier} すべてが成功しなかった場合 指定されたエンドポイントにエージェント バージョンに関する情報が見つかりませんでした。 重大なエラーが発生した場合(失敗): アクション「最終通信時刻を取得」の実行中にエラーが発生しました。理由: {traceback} |
全般 |
システム情報を取得する
説明
Trellix ePO からエンドポイントに関するシステム情報を返します。サポートされるエンティティ: ホスト名、IP。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| インサイトの作成 | チェックボックス | チェックボックスがオン | 有効にすると、アクションによってエンドポイントに関する情報を含む分析情報が作成されます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| FreeDiskSpace | JSON の結果に存在する場合に返す |
| ユーザー名 | JSON の結果に存在する場合に返す |
| DomainName | JSON の結果に存在する場合に返す |
| LastAgentHandler | JSON の結果に存在する場合に返す |
| IPV4x | JSON の結果に存在する場合に返す |
| OSBitMode | JSON の結果に存在する場合に返す |
| IPV6 | JSON の結果に存在する場合に返す |
| OSType | JSON の結果に存在する場合に返す |
| SysvolFreeSpace | JSON の結果に存在する場合に返す |
| IPHostName | JSON の結果に存在する場合に返す |
| CPUSerialNum | JSON の結果に存在する場合に返す |
| IPSubnetMask | JSON の結果に存在する場合に返す |
| SysvolTotalSpace | JSON の結果に存在する場合に返す |
| IPSubnet | JSON の結果に存在する場合に返す |
| 説明 | JSON の結果に存在する場合に返す |
| FreeMemory | JSON の結果に存在する場合に返す |
| CPUSpeed | JSON の結果に存在する場合に返す |
| SubnetMask | JSON の結果に存在する場合に返す |
| IPAddress | JSON の結果に存在する場合に返す |
| DefaultLangID | JSON の結果に存在する場合に返す |
| OSPlatform | JSON の結果に存在する場合に返す |
| NetAddress | JSON の結果に存在する場合に返す |
| TotalDiskSpace | JSON の結果に存在する場合に返す |
| SubnetAddress | JSON の結果に存在する場合に返す |
| NumOfCPU | JSON の結果に存在する場合に返す |
| タイムゾーン | JSON の結果に存在する場合に返す |
| SystemDescription | JSON の結果に存在する場合に返す |
| Vdi | JSON の結果に存在する場合に返す |
| OSBuildNum | JSON の結果に存在する場合に返す |
| OSVersion | JSON の結果に存在する場合に返す |
| IsPortable | JSON の結果に存在する場合に返す |
| TotalPhysicalMemory | JSON の結果に存在する場合に返す |
| IPXAddress | JSON の結果に存在する場合に返す |
| UserProperty7 | JSON の結果に存在する場合に返す |
| ParentID | JSON の結果に存在する場合に返す |
| CPUType | JSON の結果に存在する場合に返す |
分析情報
.png?hl=ja)
JSON の結果
[
{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": " ",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": " ",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": " ",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": " ",
"UserProperty6": " ",
"UserProperty5": " ",
"UserProperty4": " ",
"UserProperty3": " ",
"UserProperty2": " ",
"UserProperty1": " ",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": " "
},
"Entity": "1.1.1.1"
}
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 1 つで成功した場合(is_success=true): Trellix ePO から次のエンドポイントに関するシステム情報が正常に取得されました: {entity.identifier} 1 つのログで成功しなかった場合(is_success=true): アクションは、Trellix ePO から次のエンドポイントに関するシステム情報を取得できませんでした: {entity.identifier} すべて成功しなかった場合(is_success=false) 指定されたエンドポイントに関するシステム情報が見つかりませんでした。 重大なエラーの場合: アクション「システム情報を取得」の実行中にエラーが発生しました。理由: {error.traceback} |
全般 |
ウイルス エンジン エージェントのバージョンを取得する
説明
McAfee ePO のエンドポイントから Virus Engine エージェントのバージョン情報を取得します。サポートされるエンティティ: ホスト名、IP。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| Virus Engine Agent Version | なし | なし |
JSON の結果
{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | if success for one Trellix ePO の次のエンドポイントから Virus Engine エージェントのバージョン情報を正常に取得しました: {entity.identifier} 1 つの成功ではない場合 アクションは、Trellix ePO の次のエンドポイントから Virus Engine エージェントのバージョン情報を取得できませんでした: {entity.identifier} すべてが成功しなかった場合 指定されたエンドポイントで Virus Engine エージェントのバージョンに関する情報が見つかりませんでした。 重大なエラーが発生した場合(失敗): 「ウイルス エンジン エージェント バージョンを取得」アクションの実行中にエラーが発生しました。理由: {traceback} |
全般 |
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Trellix ePO への接続をテストします。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| null | なし | なし |
JSON の結果
N/A
タグの削除
説明
Trellix ePO のエンドポイントからタグを削除します。サポートされるエンティティ: ホスト名、IP。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タグ名 | 文字列 | なし | はい | エンドポイントから削除する必要があるタグの名前を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 1 つが成功した場合(is_success=true): 次のエンドポイントからタグ「{タグ名}」を削除しました Trellix ePO の場合: {entity.identifier} タグがエンドポイントの一部でない場合:(is_success=true): タグ「{tag}」は、Trellix ePO の次のエンドポイントの一部ではありませんでした: {entity.identifier} 1 つが成功しなかった場合(is_success=true) アクションは、Trellix ePO の次のエンドポイントからタグ「{tag name}」を削除できませんでした: {entity.identifier} すべてが成功しなかった場合(is_success=false): 「指定されたエンドポイントからタグ「{tag}」が削除されませんでした。」 重大なエラーが発生した場合(失敗): アクション「タグを削除」の実行中にエラーが発生しました。理由: {traceback} 無効なタグの場合(失敗) アクション「タグを削除」の実行中にエラーが発生しました。理由: タグ「{タグ名}」が Trellix ePO に見つかりませんでした。 |
全般 |
フルスキャンを実行する
説明
Trellix ePO で、指定されたエンドポイントに対してフルスキャンを実行します。サポートされるエンティティ: ホスト名、IP。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タスク名 | 文字列 | オンデマンド スキャン - フル スキャン | はい | フルスキャンを取得するために実行するタスクを指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| RunTask_Status | なし | なし |
JSON の結果
{
"status": "success" or "failure"
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 1 つの成功の場合: Trellix ePO の次のエンドポイントで、タスク「{タスク名}」に基づいてフルスキャンが正常に実行されました: {entity.identifier} 1 つでも成功しなかった場合: アクションは、Trellix ePO の次のエンドポイントでタスク「{タスク名}」に基づいてフルスキャンを実行できませんでした: {entity.identifier} すべてが成功しなかった場合: 指定されたエンドポイントでフルスキャンが実行されませんでした。 重大なエラーが発生した場合(失敗): アクション「完全スキャンを実行」の実行中にエラーが発生しました。理由: {エラー トレースバック} タスクが見つからない場合(失敗): アクション「完全スキャンを実行」の実行中にエラーが発生しました。理由: タスク「{タスク名}」が Trellix ePO で見つかりませんでした。スペルを確認してください。 |
全般 |
McAfee Agent を更新する
説明
Trellix ePO で、指定されたエンドポイントの McAfee Agent を更新します。Windows のタスク: DAT_Update_Windows_CWS。Linux のタスク: DAT_Update_Linux_CWS。サポートされるエンティティ: ホスト名、IP。
パラメータ
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| タスク名 | 文字列 | DAT_Update_Windows_CWS | はい | McAfee Agent を更新するために実行するタスクを指定します。Windows のデフォルトは DAT_Update_Windows_CWS です。Linux の場合は DAT_Update_Linux_CWS |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| Update_Status | なし | なし |
JSON の結果
{
"status": "success" or "failure"
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 1 つの成功の場合: Trellix ePO の次のエンドポイントで、タスク「{タスク名}」に基づいてエージェントが正常に更新されました: {entity.identifier} 1 つでも成功しなかった場合: Trellix ePO の次のエンドポイントで、タスク「{タスク名}」に基づいてエージェントを更新できませんでした: {entity.identifier} すべてが成功しなかった場合: エージェントは更新されませんでした。 重大なエラーが発生した場合(失敗): アクション「McAfee Agent を更新」の実行中にエラーが発生しました。理由: {エラー トレースバック} タスクが見つからない場合(失敗): アクション「McAfee Agent を更新」の実行中にエラーが発生しました。理由: タスク「{タスク名}」が Trellix ePO で見つかりませんでした。スペルを確認してください。 |
全般 |
コネクタ
McAfee EPO - Threats Connector
説明
EPOEvents テーブルから Google SecOps にイベントをプルします。ホワイトリストはアナライザ名で機能します。
Google SecOps で McAfee EPO - Threats Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | EPOEvents_ThreatType | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | http://x.x.x.x:8443/remote/ | はい | Trellix ePO インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | はい | Trellix ePO インスタンスのユーザー名。 |
| パスワード | パスワード | はい | Trellix ePO インスタンスのパスワード。 | |
| グループ名 | 文字列 | いいえ | 指定した場合、コネクタはそのグループに属するエンドポイントからのみ脅威を取得します。 | |
| 最大遡及時間 | 整数 | 1 | いいえ | どの時点からイベントを取得するかの時間数。 |
| 取得する最大イベント数 | Integer | 10 | いいえ | 1 回のコネクタのイテレーションで処理するイベントの数。デフォルト: 10。 |
| 取得する最も低い重大度 | 文字列 | 中 | いいえ | 取得するイベントの最も低い重大度。デフォルトでは、コネクタはすべてのイベントを取り込みます。有効な値: 情報、低、中、高、重大。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オン | はい | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オフ | はい | 有効になっている場合は、Trellix ePO サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| CA 証明書ファイル | 文字列 | なし | 誤り | Base64 でエンコードされた CA 証明書ファイル。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。