McAfee ePO

Versão de integração: 31.0

Configure a integração do McAfee ePO no Google Security Operations

Configure a integração do McAfee ePO com um certificado da AC

Se necessário, pode validar a sua ligação com um ficheiro de certificado de CA.

Antes de começar, certifique-se de que tem o seguinte:

  • O ficheiro de certificado da AC
  • A versão de integração mais recente do McAfee ePO

Para configurar a integração com um certificado de AC, conclua os seguintes passos:

  1. Analise o ficheiro do certificado da CA numa string Base64.
  2. Abra a página de parâmetros de configuração da integração.
  3. Insira a string no campo Ficheiro de certificado da AC.
  4. Para testar se a integração está configurada com êxito, selecione a caixa de verificação Validar SSL e clique em Testar.

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome da instância String N/A Não Nome da instância para a qual pretende configurar a integração.
Descrição String N/A Não Descrição da instância.
Endereço do servidor String https://<ServerAddress>:8443/remote/ Sim Endereço do servidor do Trellix ePO. Exemplo: https://127.0.0.1:8443/remote/
Nome de utilizador String N/A Sim O nome de utilizador para a autenticação do servidor.
Palavra-passe Palavra-passe N/A Sim A palavra-passe para a autenticação do servidor.
Nome do grupo String N/A Não Nome do grupo.
Ficheiro de certificado da CA: analisado em string Base64 String N/A Não N/A
Executar remotamente Caixa de verificação Desmarcado Não Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente).

Ações

Adicionar etiqueta

Descrição

Adicione uma etiqueta a um ponto final no Trellix ePO. Nota: só pode aplicar etiquetas que existam no sistema. Entidades suportadas: nome de anfitrião e IP.

Parâmetros

Parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome da etiqueta String N/A Sim Especifique o nome da etiqueta que tem de ser adicionada aos pontos finais.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
N/A
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

Se for bem-sucedido para um (is_success=true):

A etiqueta "{tag name}" foi adicionada com êxito aos seguintes pontos finais em

Trellix ePO: {entity.identifier}

Se a etiqueta já fizer parte do ponto final: (is_success=true):

A etiqueta "{tag}" já fazia parte dos seguintes pontos finais no Trellix ePO: {entity.identifier}

If not success for one (is_success=true)

Não foi possível adicionar a etiqueta "{tag name}" aos seguintes pontos finais no Trellix ePO: {entity.identifier}

If not success for all (is_success=false):

A etiqueta "{tag} não foi adicionada aos pontos finais fornecidos."

se erro crítico (falha):

Erro ao executar a ação "Adicionar etiqueta". Motivo: {traceback}

Se a etiqueta for inválida (falha)

Erro ao executar a ação "Adicionar etiqueta". Motivo: não foi encontrada a etiqueta "{tag name}" no Trellix ePO.

 Geral

Compare o DAT do servidor e do agente

Descrição

Recuperar informações DAT do servidor e do agente dos pontos finais no Trellix ePO. Entidades suportadas: nome de anfitrião e IP.

Parâmetros

N/A

Exemplos de utilização

N/A

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
Alert.DstPort Devolve se existir no resultado JSON
Rule.msg Devolve se existir no resultado JSON
Alert.IPSIDAlertID Devolve se existir no resultado JSON
Alert.SrcIP Devolve se existir no resultado JSON
Alert.LastTime Devolve se existir no resultado JSON
Alert.Protocol Devolve se existir no resultado JSON
Alert.SrcPort Devolve se existir no resultado JSON
Alert.DstIP Devolve se existir no resultado JSON
Estatísticas

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
nulo N/A N/A
Resultado JSON
{

"server_version": {server_version}

"dat_version": {dat_version}

"equal": true  if server_version == dat_version, else false

}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

se o sucesso de um

As informações DAT do servidor e do agente foram obtidas com êxito dos seguintes pontos finais no Trellix ePO: {entity.identifier}

se não tiver êxito para um

Não foi possível obter informações DAT do servidor e do agente dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for all

Não foram encontradas informações sobre o DAT do servidor e do agente nos pontos finais fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Compare Server and Agent DAT" (Comparar servidor e DAT do agente). Motivo: {traceback}

 Geral

Receba informações do agente

Descrição

Obtenha informações sobre os agentes do ponto final a partir do Trellix ePO. Entidades suportadas: nome do anfitrião, IP.

Parâmetros

N/A

Exemplos de utilização

N/A

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
EPO_LastUpdate Devolve se existir no resultado JSON
EPO_ManagedState Devolve se existir no resultado JSON
EPO_Tags Devolve se existir no resultado JSON
EPO_ExcludedTags Devolve se existir no resultado JSON
EPO_AgentVersion Devolve se existir no resultado JSON
EPO_AgentGUID Devolve se existir no resultado JSON
Estatísticas

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
[
    {
        "EntityResult":
        {
            "LastUpdate": "2019-01-22T13:04:49+02:00",
            "ManagedState": "1",
            "Tags": "Server, Workstation",
            "ExcludedTags": "",
            "AgentVersion": "1.1.1.1",
            "AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
        },
        "Entity": "1.1.1.1"
    }
]
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

Se for bem-sucedido para um (is_success=true):

As informações do agente acerca dos seguintes pontos finais no Trellix ePO foram obtidas com êxito: {entity.identifier}

If not success for one (is_success=true)

Não foi possível obter informações do agente sobre os seguintes endpoints no Trellix ePO: {entity.identifier}

If not success for all (is_success=false):

Não foram encontradas informações de agenda para os anfitriões indicados.

se erro crítico (falha):

Erro ao executar a ação "Get Agent Information" (Obter informações do agente). Motivo: {traceback}

 Geral

Get Dat Version

Descrição

Recupere informações DAT dos pontos finais no Trellix ePO. Entidades suportadas: nome de anfitrião, IP.

Parâmetros

N/A

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
Versão DAT N/A N/A
Resultado JSON
{
"DAT_version": {DAT version}
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

se o sucesso de um

As informações DAT foram obtidas com êxito dos seguintes pontos finais no Trellix ePO: {entity.identifier}

se não tiver êxito para um

Não foi possível obter informações DAT dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for all

Não foram encontradas informações sobre o DAT nos pontos finais fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Dat Version". Motivo: {traceback}

 Geral

GetEventsForHash

Descrição

Recupere informações sobre eventos relacionados com hashes. Nota: apenas são suportados hashes MD5.

Parâmetros

Nome Tipo Valor predefinido É obrigatório Descrição
Fetch Events From EPExtendedEvent Table Caixa de verificação Desmarcado Não Se estiver ativada, a ação também usa a tabela "EPExtendedEvent" para encontrar informações sobre hashes.
Marcar como suspeito Caixa de verificação Sim Falso Se estiver ativada, a ação marca todos os hashes para os quais foram encontrados eventos como suspeitos.
Crie estatísticas Caixa de verificação Não Falso Se estiver ativada, a ação cria uma estatística com informações sobre os hashes que têm eventos associados.
Campos a devolver CSV

EPOEvents.ThreatName,
EPOEvents.ThreatType,
EPOEvents.ThreatActionTaken,
EPOEvents.ThreatHandled,
EPOEvents.ThreatCategory
,EPOEvents.TargetHostName,
EPOEvents.TargetUserName,
EPOEvents.TargetFileName,
EPOEvents.TargetProcessName,
EPOEvents.TargetPort,EPOEvents.
TargetProtocol,EPOEvents.
ThreatCategory,EPOEvents.
TargetIPV4,EPOEvents.
SourceHostName,EPOEvents.
SourceIPV4,EPOEvents.
SourceUserName,EPOEvents.
SourceProcessName,EPOEvents.
SourceURL

 Falso Especifique os campos a devolver. Se não for especificada nenhuma ação, são devolvidos todos os campos disponíveis.
Campo de ordenação String N/A Falso Especifique o campo que deve ser usado para ordenar os resultados.
Disposição da Ordenação LDD

ASC

Valores possíveis:

ASC

DESC

 Falso Especifique a ordem de classificação que deve ser aplicada à consulta.
Intervalo de tempo LDD

Última hora

Valores possíveis:

Última hora

Últimas 6 horas

Últimas 24 horas

Semana passada

Mês passado

Personalizado

 Falso Especifique um período para os eventos. Se selecionar "Personalizado", também tem de indicar a "Hora de início".
Hora de início String N/A Falso Especifique a hora de início dos eventos. Este parâmetro é obrigatório se "Personalizado" estiver selecionado para o parâmetro "Intervalo de tempo". Formato: ISO 8601
Hora de fim String N/A Falso Especifique a hora de fim dos eventos. Formato: ISO 8601. Se não for indicado nada e "Personalizado" for selecionado para o parâmetro "Intervalo de tempo", este parâmetro usa a hora atual.
Máximo de eventos a devolver Número inteiro 50 Falso Especifique quantos eventos devem ser devolvidos. Predefinição: 50.

Executar em

Esta ação é executada na entidade Filehash.

Resultados da ação

Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
EPOEvents.ThreatCategory Devolve se existir no resultado JSON
EPOEvents.TargetUserName Devolve se existir no resultado JSON
EPOEvents.TargetPort Devolve se existir no resultado JSON
EPOEvents.TargetFileName Devolve se existir no resultado JSON
EPOEvents.TargetIPV4 Devolve se existir no resultado JSON
EPO_AgentGUID Devolve se existir no resultado JSON
Estatísticas

A estatística é criada para eventos encontrados no Trellix ePO para o hash atual.

Resultado JSON
[
    {
        "EntityResult":
        [
            {
                "EPOEvents.ThreatCategory": "av.detect",
                "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
                "EPOEvents.TargetPort": "None",
                "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
                "EPOEvents.TargetIPV4": -1979711347,
                "EPOEvents.ThreatName": "EICAR test file",
                "EPOEvents.SourceUserName": "None",
                "EPOEvents.TargetProcessName": "None",
                "EPOEvents.SourceProcessName": "None",
                "EPOEvents.ThreatType": "test",
                "EPOEvents.SourceIPV4": -1979711347,
                "EPOEvents.TargetProtocol": "None",
                "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
                "EPOEvents.SourceURL": "None",
                "EPOEvents.ThreatActionTaken": "deleted",
                "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
                "EPOEvents.ThreatHandled": "True",
                "EPOEvents.SourceHostName": "_"
            }, {
                "EPOEvents.ThreatCategory": "av.detect",
                "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
                "EPOEvents.TargetPort": "None",
                "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
                "EPOEvents.TargetIPV4": -1979711347,
                "EPOEvents.ThreatName": "EICAR test file",
                "EPOEvents.SourceUserName": "None",
                "EPOEvents.TargetProcessName": "None",
                "EPOEvents.SourceProcessName": "None",
                "EPOEvents.ThreatType": "test",
                "EPOEvents.SourceIPV4": -1979711347,
                "EPOEvents.TargetProtocol": "None",
                "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
                "EPOEvents.SourceURL": "None",
                "EPOEvents.ThreatActionTaken": "deleted",
                "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
                "EPOEvents.ThreatHandled": "True",
                "EPOEvents.SourceHostName": "_"
            }],
        "Entity": "44d88612fea8a8f36de82e1278abb02f"
    }
]
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

Se for bem-sucedido e os resultados estiverem disponíveis: (is_success=true)

"Successfully returned available events for the following hashes in Trellix ePO: {entity.identifier}" (Foram devolvidos com êxito os eventos disponíveis para os seguintes hashes no Trellix ePO: {entity.identifier})

If not successful for one: (is_success=true)

"A ação não conseguiu encontrar eventos para os seguintes hashes no Trellix ePO: {entity.identifier}"

Se não for bem-sucedido para todos (is_success=false):

"Não foram encontrados eventos para os endpoints fornecidos no Trellix ePO."

Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro (falha): "Erro ao executar a ação "Obter ameaças de pontos finais". Motivo: {0}''.format(error.Stacktrace)

Se o erro estiver na resposta (falha): "Erro ao executar a ação "Execute Entity Query". Motivo: {0}''.format( texto de resposta)

Se a hora de início estiver vazia, quando o "Intervalo de tempo" for "Personalizado" (falha): "Erro ao executar a ação "Obter ameaças de pontos finais". Motivo: "Start Time" deve ser fornecido quando "Custom" é selecionado no parâmetro "Time Frame"."

 Geral

Obtenha o estado dos IPs do anfitrião

Descrição

Obtenha informações de IPS dos pontos finais no Trellix ePO. Entidades suportadas: nome de anfitrião, IP.

Parâmetros

N/A

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_status_received Verdadeiro/Falso is_status_received:False
Resultado JSON
{
"IPS_status": {IPS_status}
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

se o sucesso de um

As informações de IPS foram obtidas com êxito dos seguintes pontos finais no Trellix ePO: {entity.identifier}

se não tiver êxito para um

A ação não conseguiu obter informações de IPS dos seguintes pontos finais no Trellix ePO: {entity.identifier}

if not success for all

Não foram encontradas informações sobre IPS nos pontos finais fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Host IPS Status". Motivo: {traceback}

 Geral

Obtenha o estado dos IPs da rede do anfitrião

Descrição

Recupere informações de IPS de rede dos pontos finais no Trellix ePO. Entidades suportadas: nome do anfitrião, IP.

Parâmetros

N/A

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_status_received Verdadeiro/Falso is_status_received:False
Resultado JSON
{
"Network_IPS_status": {Network_IPS_status}
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

se o sucesso de um

As informações de IPS de rede foram obtidas com êxito dos seguintes pontos finais no Trellix ePO: {entity.identifier}

se não tiver êxito para um

Não foi possível obter informações de IPS de rede dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for all

Não foram encontradas informações sobre os IPS de rede nos pontos finais fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Host Network IPS Status". Motivo: {traceback}

 Geral

Get Last Communication Time

Descrição

Recupere informações sobre a hora da última comunicação dos pontos finais no Trellix ePO. Entidades suportadas: nome de anfitrião e IP.

Parâmetros

N/A

Exemplos de utilização

N/A

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
isSuccess Verdadeiro/Falso isSuccess:False
Resultado JSON
{
"last_communication_time": {last_communication_time}
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

se o sucesso de um

As informações da hora da última comunicação foram obtidas com êxito dos seguintes pontos finais no Trellix ePO: {entity.identifier}

se não tiver êxito para um

Não foi possível obter informações da hora da última comunicação dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for all

Não foram encontradas informações sobre a hora da última comunicação nos pontos finais fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Last Communication Time". Motivo: {traceback}

 Geral

Get McAfee Epo Agent Version

Descrição

Recupere informações sobre a versão do agente a partir dos pontos finais no Trellix ePO. Entidades suportadas: nome de anfitrião e IP.

Parâmetros

N/A

Exemplos de utilização

N/A

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
Versão do McAfee Agent N/A N/A
Resultado JSON
{
"ePO_agent_version": ePO_agent_version
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

se o sucesso de um

As informações da versão do agente foram obtidas com êxito dos seguintes pontos finais no Trellix ePO: {entity.identifier}

se não tiver êxito para um

Não foi possível obter informações da versão do agente dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for all

Não foram encontradas informações sobre a versão do agente nos pontos finais fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Last Communication Time". Motivo: {traceback}

 Geral

Obtenha informações do sistema

Descrição

Devolva informações do sistema sobre os pontos finais do Trellix ePO. Entidades suportadas: nome do anfitrião, IP.

Parâmetros

Parâmetro Tipo Valor predefinido É obrigatório Descrição
Crie estatísticas Caixa de verificação Caixa de verificação selecionada Se estiver ativada, a ação cria uma estatística com informações sobre o ponto final.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
FreeDiskSpace Devolve se existir no resultado JSON
Nome de utilizador Devolve se existir no resultado JSON
DomainName Devolve se existir no resultado JSON
LastAgentHandler Devolve se existir no resultado JSON
IPV4x Devolve se existir no resultado JSON
OSBitMode Devolve se existir no resultado JSON
IPV6 Devolve se existir no resultado JSON
OSType Devolve se existir no resultado JSON
SysvolFreeSpace Devolve se existir no resultado JSON
IPHostName Devolve se existir no resultado JSON
CPUSerialNum Devolve se existir no resultado JSON
IPSubnetMask Devolve se existir no resultado JSON
SysvolTotalSpace Devolve se existir no resultado JSON
IPSubnet Devolve se existir no resultado JSON
Descrição Devolve se existir no resultado JSON
FreeMemory Devolve se existir no resultado JSON
CPUSpeed Devolve se existir no resultado JSON
SubnetMask Devolve se existir no resultado JSON
IPAddress Devolve se existir no resultado JSON
DefaultLangID Devolve se existir no resultado JSON
OSPlatform Devolve se existir no resultado JSON
NetAddress Devolve se existir no resultado JSON
TotalDiskSpace Devolve se existir no resultado JSON
SubnetAddress Devolve se existir no resultado JSON
NumOfCPU Devolve se existir no resultado JSON
Fuso horário Devolve se existir no resultado JSON
SystemDescription Devolve se existir no resultado JSON
Vdi Devolve se existir no resultado JSON
OSBuildNum Devolve se existir no resultado JSON
OSVersion Devolve se existir no resultado JSON
IsPortable Devolve se existir no resultado JSON
TotalPhysicalMemory Devolve se existir no resultado JSON
IPXAddress Devolve se existir no resultado JSON
UserProperty7 Devolve se existir no resultado JSON
ParentID Devolve se existir no resultado JSON
CPUType Devolve se existir no resultado JSON
Estatísticas

imagem (1134)

Resultado JSON
[
    {
        "EntityResult":
        {
            "FreeDiskSpace": "444316",
            "UserName": "Admin",
            "OSServicePackVer": " ",
            "DomainName": "WORKGROUP",
            "LastAgentHandler": "1",
            "IPV4x": "-1979711239",
            "OSBitMode": "1",
            "IPV6": "0:0:0:0:0:FFFF:A00:F9",
            "OSType": "Windows Server 2012 R2",
            "SysvolFreeSpace": "94782",
            "IPHostName": "McAfee-ePO",
            "CPUSerialNum": "N/A",
            "IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
            "SysvolTotalSpace": "161647",
            "IPSubnet": "0:0:0:0:0:FFFF:A00:0",
            "Description": "None",
            "FreeMemory": "1626767360",
            "CPUSpeed": "2400",
            "SubnetMask": " ",
            "IPAddress": "1.1.1.1",
            "DefaultLangID": "0409",
            "OSPlatform": "Server",
            "ComputerName": "MCAFEE-EPO",
            "OSOEMID": "00252-00112-26656-AA653",
            "NetAddress": "005056A56847",
            "TotalDiskSpace": "511646",
            "SubnetAddress": " ",
            "NumOfCPU": "4",
            "TimeZone": "Jerusalem Standard Time",
            "SystemDescription": "N/A",
            "Vdi": "0",
            "OSBuildNum": "9600",
            "OSVersion": "6.3",
            "IsPortable": "0",
            "TotalPhysicalMemory": "6441984000",
            "IPXAddress": "N/A",
            "UserProperty7": " ",
            "UserProperty6": " ",
            "UserProperty5": " ",
            "UserProperty4": " ",
            "UserProperty3": " ",
            "UserProperty2": " ",
            "UserProperty1": " ",
            "ParentID": "8",
            "CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
            "UserProperty8": " "
        },
        "Entity": "1.1.1.1"
    }
]
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

Se for bem-sucedido para um (is_success=true):

As informações do sistema acerca dos seguintes pontos finais foram obtidas com êxito a partir do Trellix ePO: {entity.identifier}

Se não for bem-sucedido para um (is_success=true):

A ação não conseguiu obter informações do sistema sobre os seguintes endpoints do Trellix ePO: {entity.identifier}

If not successful for all (is_success=false)

Não foram encontradas informações do sistema sobre os pontos finais fornecidos.

Se for um erro crítico:

Erro ao executar a ação "Get System Information" (Obter informações do sistema). Motivo: {error.traceback}

 Geral

Get Virus Engine Agent Version

Descrição

Recupere informações da versão do agente do motor de vírus dos pontos finais no McAfee ePO. Entidades suportadas: nome de anfitrião e IP.

Parâmetros

N/A

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
Versão do agente do motor de vírus N/A N/A
Resultado JSON
{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

se o sucesso de um

As informações da versão do agente do motor de vírus foram obtidas com êxito dos seguintes pontos finais no Trellix ePO: {entity.identifier}

se não tiver êxito para um

Não foi possível obter informações da versão do agente do motor de vírus dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for all

Não foram encontradas informações sobre a versão do agente do Virus Engine nos pontos finais fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Virus Engine Agent Version". Motivo: {traceback}

 Geral

Tchim-tchim

Descrição

Teste a conetividade ao Trellix ePO com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Parâmetros

N/A

Exemplos de utilização

N/A

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
nulo N/A N/A
Resultado JSON
N/A

Remova a etiqueta

Descrição

Remova uma etiqueta de um ponto final no Trellix ePO. Entidades suportadas: nome de anfitrião e IP.

Parâmetros

Parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome da etiqueta String N/A Sim Especifique o nome da etiqueta que tem de ser removida dos pontos finais.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado JSON
N/A
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

Se for bem-sucedido para um (is_success=true):

A etiqueta "{tag name}" foi removida com êxito dos seguintes pontos finais

no Trellix ePO: {entity.identifier}

Se a etiqueta não fizer parte do ponto final: (is_success=true):

A etiqueta "{tag}" não fazia parte dos seguintes pontos finais no Trellix ePO: {entity.identifier}

If not success for one (is_success=true)

Não foi possível remover a etiqueta "{tag name}" dos seguintes pontos finais no Trellix ePO: {entity.identifier}

If not success for all (is_success=false):

A etiqueta "{tag} não foi removida dos pontos finais fornecidos".

se erro crítico (falha):

Erro ao executar a ação "Remover etiqueta". Motivo: {traceback}

Se a etiqueta for inválida (falha)

Erro ao executar a ação "Remover etiqueta". Motivo: a etiqueta "{nome da etiqueta}" não foi encontrada no Trellix ePO.

 Geral

Executar análise completa

Descrição

Execute uma análise completa nos pontos finais fornecidos no Trellix ePO. Entidades suportadas: nome de anfitrião, IP.

Parâmetros

Parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome da tarefa String Análise a pedido – Análise completa Sim Especifique a tarefa que deve ser executada para obter uma análise completa.

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
RunTask_Status N/A N/A
Resultado JSON
{
"status": "success" or "failure"
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

Se tiver êxito para um:

A análise completa foi executada com êxito com base na tarefa "{task name}" nos seguintes pontos finais no Trellix ePO: {entity.identifier}

Se não tiver êxito para um:

Não foi possível executar uma análise completa com base na tarefa "{task name}" nos seguintes pontos finais no Trellix ePO: {entity.identifier}

Se não for bem-sucedido para todos:

A análise completa não foi executada nos pontos finais fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Executar análise completa". Motivo: {error traceback}

if task is not found (fail):

Erro ao executar a ação "Executar análise completa". Motivo: não foi possível encontrar a tarefa "{task name}" no Trellix ePO. Verifique a ortografia.

 Geral

Atualize o McAfee Agent

Descrição

Atualize o McAfee Agent nos pontos finais fornecidos no Trellix ePO. Tarefa para Windows: DAT_Update_Windows_CWS. Tarefa para Linux: DAT_Update_Linux_CWS. Entidades suportadas: nome do anfitrião, IP.

Parâmetros

Parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome da tarefa String DAT_Update_Windows_CWS Sim Especifique a tarefa que deve ser executada para atualizar o McAfee Agent. A predefinição para o Windows é DAT_Update_Windows_CWS. Para o Linux, é DAT_Update_Linux_CWS

Executar em

Esta ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do anfitrião

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
Update_Status N/A N/A
Resultado JSON
{
"status": "success" or "failure"
}
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

Se tiver êxito para um:

Os agentes foram atualizados com êxito com base na tarefa "{task name}" nos seguintes pontos finais no Trellix ePO: {entity.identifier}

Se não tiver êxito para um:

Não foi possível atualizar o agente com base na tarefa "{task name}" nos seguintes pontos finais no Trellix ePO: {entity.identifier}

Se não for bem-sucedido para todos:

Nenhum dos agentes foi atualizado.

se erro crítico (falha):

Erro ao executar a ação "Atualizar o agente McAfee". Motivo: {error traceback}

if task is not found (fail):

Erro ao executar a ação "Atualizar o agente McAfee". Motivo: não foi possível encontrar a tarefa "{task name}" no Trellix ePO. Verifique a ortografia.

 Geral

Conetor

McAfee EPO - Threats Connector

Descrição

Extrair eventos da tabela EPOEvents para o Google SecOps. A lista de autorizações funciona com nomes de analisadores.

Configure o conetor de ameaças do McAfee EPO no Google SecOps

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.

Parâmetros do conetor

Use os seguintes parâmetros para configurar o conector:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do campo do produto String Nome do produto Sim Introduza o nome do campo de origem para obter o nome do campo do produto.
Nome do campo de evento String EPOEvents_ThreatType Sim Introduza o nome do campo de origem para obter o nome do campo do evento.
Nome do campo do ambiente String "" Não

Descreve o nome do campo onde o nome do ambiente está armazenado.

Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido.
Padrão de regex do ambiente String .* Não

Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente".

A predefinição é .* para captar tudo e devolver o valor inalterado.

Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex.

Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
Limite de tempo do script (segundos) Número inteiro 180 Sim Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API String http://x.x.x.x:8443/remote/ Sim Raiz da API da instância do Trellix ePO.
Nome de utilizador String N/A Sim Nome de utilizador da instância do Trellix ePO.
Palavra-passe Palavra-passe Sim Palavra-passe da instância do Trellix ePO.
Nome do grupo String Não Se forem fornecidas, o conector só vai obter ameaças de pontos finais que façam parte desse grupo.
Máximo de horas para trás Número inteiro 1 Não Quantidade de horas a partir das quais obter eventos.
Máximo de eventos a obter Número inteiro 10 Não O número de eventos a processar por iteração de um conetor. Predefinição: 10.
Gravidade mais baixa a obter String Médio Não

A gravidade mais baixa dos eventos a obter. Por predefinição, o conetor vai carregar todos os eventos. Valores possíveis:

Informação, Baixo, Médio, Alto, Crítico.
Use a lista de autorizações como uma lista negra Caixa de verificação Marcado Sim Se estiver ativada, a lista de autorizações é usada como uma lista negra.
Validar SSL Caixa de verificação Desmarcado Sim Se estiver ativada, valide se o certificado SSL para a ligação ao servidor do Trellix ePO é válido.
Ficheiro de certificado da AC String N/A Falso Ficheiro de certificado da AC codificado em Base64.
Endereço do servidor proxy String N/A Não O endereço do servidor proxy a usar.
Nome de utilizador do proxy String N/A Não O nome de utilizador do proxy para autenticação.
Palavra-passe do proxy Palavra-passe Não A palavra-passe do proxy para autenticação.

Regras do conetor

Suporte de proxy

O conetor suporta proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.