McAfee ePO

Versão da integração: 31.0

Configurar a integração do McAfee ePO no Google Security Operations

Configurar a integração do McAfee ePO com um certificado de CA

Se necessário, verifique sua conexão com um arquivo de certificado de CA.

Antes de começar, verifique se você tem o seguinte:

  • O arquivo de certificado de CA
  • A versão mais recente da integração do McAfee ePO

Para configurar a integração com um certificado da CA, siga estas etapas:

  1. Analise o arquivo de certificado da CA em uma string Base64.
  2. Abra a página de parâmetros de configuração da integração.
  3. Insira a string no campo Arquivo de certificado da CA.
  4. Para testar se a integração foi configurada corretamente, marque a caixa de seleção Verificar SSL e clique em Testar.

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome da instância String N/A Não Nome da instância em que você pretende configurar a integração.
Descrição String N/A Não Descrição da instância.
Endereço do servidor String https://<ServerAddress>:8443/remote/ Sim Endereço do servidor do Trellix ePO. Exemplo: https://127.0.0.1:8443/remote/
Nome de usuário String N/A Sim O nome de usuário para autenticação do servidor.
Senha Senha N/A Sim A senha para autenticação do servidor.
Nome do grupo String N/A Não Nome do grupo.
Arquivo de certificado da CA: analisado em uma string Base64 String N/A Não N/A
Executar remotamente Caixa de seleção Desmarcado Não Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente).

Ações

Adicionar tag

Descrição

Adicione uma tag a um endpoint no Trellix ePO. Observação: só é possível aplicar tags que existem no sistema. Entidades compatíveis: nome de host, IP.

Parâmetros

Parâmetro Tipo Valor padrão É obrigatório Descrição
Nome da tag String N/A Sim Especifique o nome da tag que precisa ser adicionada aos endpoints.

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
N/A
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Se houver sucesso para um (is_success=true):

A tag "{tag name}" foi adicionada aos seguintes endpoints em

Trellix ePO: {entity.identifier}

Se a tag já fizer parte do endpoint (is_success=true):

A tag "{tag}" já fazia parte dos seguintes endpoints no Trellix ePO: {entity.identifier}

Se não houver sucesso para um (is_success=true)

Não foi possível adicionar a tag "{tag name}" aos seguintes endpoints no Trellix ePO: {entity.identifier}

Se não houver sucesso para todos (is_success=false):

A tag "{tag} não foi adicionada aos endpoints fornecidos".

se erro crítico (falha):

Erro ao executar a ação "Adicionar tag". Motivo: {traceback}

Se a tag for inválida (falha)

Erro ao executar a ação "Adicionar tag". Motivo: a tag "{tag name}" não foi encontrada no Trellix ePO.

 Geral

Comparar DATs de servidor e agente

Descrição

Recupere informações de DAT do servidor e do agente dos endpoints no Trellix ePO. Entidades compatíveis: nome de host, IP.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
Alert.DstPort Retorna se ele existe no resultado JSON
Rule.msg Retorna se ele existe no resultado JSON
Alert.IPSIDAlertID Retorna se ele existe no resultado JSON
Alert.SrcIP Retorna se ele existe no resultado JSON
Alert.LastTime Retorna se ele existe no resultado JSON
Alert.Protocol Retorna se ele existe no resultado JSON
Alert.SrcPort Retorna se ele existe no resultado JSON
Alert.DstIP Retorna se ele existe no resultado JSON
Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
null N/A N/A
Resultado do JSON
{

"server_version": {server_version}

"dat_version": {dat_version}

"equal": true  if server_version == dat_version, else false

}
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

se o sucesso for para um

As informações de DAT do servidor e do agente foram recuperadas com sucesso dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for one

A ação não conseguiu recuperar informações de DAT do servidor e do agente dos seguintes endpoints no Trellix ePO: {entity.identifier}

se não houver sucesso para todos

Nenhuma informação sobre o DAT do servidor e do agente foi encontrada nos endpoints fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Comparar DAT do servidor e do agente". Motivo: {traceback}

 Geral

Acessar informações do agente

Descrição

Recupera informações sobre os agentes do endpoint do Trellix ePO. Entidades aceitas: nome do host, IP.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
EPO_LastUpdate Retorna se ele existe no resultado JSON
EPO_ManagedState Retorna se ele existe no resultado JSON
EPO_Tags Retorna se ele existe no resultado JSON
EPO_ExcludedTags Retorna se ele existe no resultado JSON
EPO_AgentVersion Retorna se ele existe no resultado JSON
EPO_AgentGUID Retorna se ele existe no resultado JSON
Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
[
    {
        "EntityResult":
        {
            "LastUpdate": "2019-01-22T13:04:49+02:00",
            "ManagedState": "1",
            "Tags": "Server, Workstation",
            "ExcludedTags": "",
            "AgentVersion": "1.1.1.1",
            "AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
        },
        "Entity": "1.1.1.1"
    }
]
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Se houver sucesso para um (is_success=true):

As informações do agente sobre os seguintes endpoints no Trellix ePO foram recuperadas com sucesso: {entity.identifier}

Se não houver sucesso para um (is_success=true)

A ação não conseguiu recuperar informações do agente sobre os seguintes endpoints no Trellix ePO: {entity.identifier}

Se não houver sucesso para todos (is_success=false):

Nenhuma informação de agend foi encontrada para os hosts fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Agent Information". Motivo: {traceback}

 Geral

Acessar versão do DAT

Descrição

Recupere informações de DAT dos endpoints no Trellix ePO. Entidades aceitas: nome do host, IP.

Parâmetros

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
Versão do DAT N/A N/A
Resultado do JSON
{
"DAT_version": {DAT version}
}
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

se o sucesso for para um

As informações de DAT foram recuperadas com sucesso dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for one

A ação não conseguiu recuperar informações de DAT dos seguintes endpoints no Trellix ePO: {entity.identifier}

se não houver sucesso para todos

Não foram encontradas informações sobre DAT nos endpoints fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Dat Version". Motivo: {traceback}

 Geral

Receber eventos para hash

Descrição

Recupera informações sobre eventos relacionados a hashes. Observação: somente hashes MD5 são compatíveis.

Parâmetros

Nome Tipo Valor padrão É obrigatório Descrição
Buscar eventos da tabela EPExtendedEvent Caixa de seleção Desmarcado Não Se ativada, a ação também usará a tabela "EPExtendedEvent" para encontrar informações sobre hashes.
Marcar como suspeito Caixa de seleção Sim Falso Se ativada, a ação vai marcar como suspeitos todos os hashes em que eventos foram encontrados.
Criar insight Caixa de seleção Não Falso Se ativada, a ação vai criar um insight com informações sobre quais hashes têm eventos associados a eles.
Campos a serem retornados CSV

EPOEvents.ThreatName,
EPOEvents.ThreatType,
EPOEvents.ThreatActionTaken,
EPOEvents.ThreatHandled,
EPOEvents.ThreatCategory
,EPOEvents.TargetHostName,
EPOEvents.TargetUserName,
EPOEvents.TargetFileName,
EPOEvents.TargetProcessName,
EPOEvents.TargetPort,EPOEvents.
TargetProtocol,EPOEvents.
ThreatCategory,EPOEvents.
TargetIPV4,EPOEvents.
SourceHostName,EPOEvents.
SourceIPV4,EPOEvents.
SourceUserName,EPOEvents.
SourceProcessName,EPOEvents.
SourceURL

 Falso Especifique quais campos retornar. Se nada for especificado, a ação vai retornar todos os campos disponíveis.
Campo de classificação String N/A Falso Especifique qual campo deve ser usado para ordenar os resultados.
Ordem de classificação DDL

ASC

Valores possíveis:

ASC

DESC

 Falso Especifique a ordem de classificação que deve ser aplicada à consulta.
Período DDL

Última hora

Valores possíveis:

Última hora

Últimas 6 horas

Últimas 24 horas

Última semana

Mês anterior

Personalizado

 Falso Especifique um período para os eventos. Se "Personalizado" estiver selecionado, você também precisará informar o "Horário de início".
Horário de início String N/A Falso Especifique o horário de início dos eventos. Esse parâmetro é obrigatório se "Personalizado" for selecionado para o parâmetro "Período". Formato: ISO 8601
Horário de término String N/A Falso Especifique o horário de término dos eventos. Formato: ISO 8601. Se nada for fornecido e "Personalizado" for selecionado para o parâmetro "Período", esse parâmetro usará a hora atual.
Número máximo de eventos a serem retornados Número inteiro 50 Falso Especifique quantos eventos retornar. Padrão: 50.

Executar em

Essa ação é executada na entidade "Filehash".

Resultados da ação

Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
EPOEvents.ThreatCategory Retorna se ele existe no resultado JSON
EPOEvents.TargetUserName Retorna se ele existe no resultado JSON
EPOEvents.TargetPort Retorna se ele existe no resultado JSON
EPOEvents.TargetFileName Retorna se ele existe no resultado JSON
EPOEvents.TargetIPV4 Retorna se ele existe no resultado JSON
EPO_AgentGUID Retorna se ele existe no resultado JSON
Insights

O insight será criado para eventos encontrados no Trellix ePO para o hash atual.

Resultado do JSON
[
    {
        "EntityResult":
        [
            {
                "EPOEvents.ThreatCategory": "av.detect",
                "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
                "EPOEvents.TargetPort": "None",
                "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
                "EPOEvents.TargetIPV4": -1979711347,
                "EPOEvents.ThreatName": "EICAR test file",
                "EPOEvents.SourceUserName": "None",
                "EPOEvents.TargetProcessName": "None",
                "EPOEvents.SourceProcessName": "None",
                "EPOEvents.ThreatType": "test",
                "EPOEvents.SourceIPV4": -1979711347,
                "EPOEvents.TargetProtocol": "None",
                "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
                "EPOEvents.SourceURL": "None",
                "EPOEvents.ThreatActionTaken": "deleted",
                "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
                "EPOEvents.ThreatHandled": "True",
                "EPOEvents.SourceHostName": "_"
            }, {
                "EPOEvents.ThreatCategory": "av.detect",
                "EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
                "EPOEvents.TargetPort": "None",
                "EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
                "EPOEvents.TargetIPV4": -1979711347,
                "EPOEvents.ThreatName": "EICAR test file",
                "EPOEvents.SourceUserName": "None",
                "EPOEvents.TargetProcessName": "None",
                "EPOEvents.SourceProcessName": "None",
                "EPOEvents.ThreatType": "test",
                "EPOEvents.SourceIPV4": -1979711347,
                "EPOEvents.TargetProtocol": "None",
                "VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
                "EPOEvents.SourceURL": "None",
                "EPOEvents.ThreatActionTaken": "deleted",
                "EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
                "EPOEvents.ThreatHandled": "True",
                "EPOEvents.SourceHostName": "_"
            }],
        "Entity": "44d88612fea8a8f36de82e1278abb02f"
    }
]
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Se a solicitação for bem-sucedida e os resultados estiverem disponíveis: (is_success=true)

"Os eventos disponíveis foram retornados com sucesso para os seguintes hashes no Trellix ePO: {entity.identifier}"

Se não for concluída para um: (is_success=true)

"Não foi possível encontrar eventos para os seguintes hashes no Trellix ePO: {entity.identifier}"

Se não for concluída para todos (is_success=false):

"Nenhum evento foi encontrado para os endpoints fornecidos no Trellix ePO."

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro (falha): "Erro ao executar a ação "Receber ameaças de endpoint". Motivo: {0}''.format(error.Stacktrace)

Se o erro estiver na resposta (falha): "Erro ao executar a ação "Executar consulta de entidade". Motivo: {0}''.format( response text)

Se o horário de início estiver vazio e o período for "Personalizado" (falha): "Erro ao executar a ação "Get Endpoint Threats". Motivo: "Horário de início" precisa ser informado quando "Personalizado" é selecionado no parâmetro "Período".

 Geral

Receber status de IPs de host

Descrição

Recupere informações de IPS dos endpoints no Trellix ePO. Entidades aceitas: nome do host, IP.

Parâmetros

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_status_received Verdadeiro/Falso is_status_received:False
Resultado do JSON
{
"IPS_status": {IPS_status}
}
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

se o sucesso for para um

As informações do IPS foram recuperadas com sucesso dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for one

A ação não conseguiu recuperar informações de IPS dos seguintes endpoints no Trellix ePO: {entity.identifier}

se não houver sucesso para todos

Nenhuma informação sobre IPS foi encontrada nos endpoints fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Host IPS Status". Motivo: {traceback}

 Geral

Receber status de IPs de rede do host

Descrição

Recupere informações do IPS de rede dos endpoints no Trellix ePO. Entidades aceitas: nome do host, IP.

Parâmetros

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_status_received Verdadeiro/Falso is_status_received:False
Resultado do JSON
{
"Network_IPS_status": {Network_IPS_status}
}
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

se o sucesso for para um

As informações do IPS de rede foram recuperadas com sucesso dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for one

A ação não conseguiu recuperar informações de IPS de rede dos seguintes endpoints no Trellix ePO: {entity.identifier}

se não houver sucesso para todos

Não foram encontradas informações sobre o IPS de rede nos endpoints fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Host Network IPS Status". Motivo: {traceback}

 Geral

Receber o horário da última comunicação

Descrição

Recupera informações sobre o tempo da última comunicação dos endpoints no Trellix ePO. Entidades compatíveis: nome de host, IP.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
isSuccess Verdadeiro/Falso isSuccess:False
Resultado do JSON
{
"last_communication_time": {last_communication_time}
}
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

se o sucesso for para um

As informações da última comunicação foram recuperadas com sucesso dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for one

A ação não conseguiu recuperar as informações do último horário de comunicação dos seguintes endpoints no Trellix ePO: {entity.identifier}

se não houver sucesso para todos

Nenhuma informação sobre o horário da última comunicação foi encontrada nos endpoints fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Last Communication Time". Motivo: {traceback}

 Geral

Acessar a versão do agente do McAfee ePO

Descrição

Recupere informações sobre a versão do agente dos endpoints no Trellix ePO. Entidades compatíveis: nome de host, IP.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
Versão do agente da McAfee N/A N/A
Resultado do JSON
{
"ePO_agent_version": ePO_agent_version
}
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

se o sucesso for para um

As informações da versão do agente foram recuperadas com sucesso dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for one

Não foi possível recuperar as informações da versão do agente dos seguintes endpoints no Trellix ePO: {entity.identifier}

se não houver sucesso para todos

Nenhuma informação sobre a versão do agente foi encontrada nos endpoints fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Last Communication Time". Motivo: {traceback}

 Geral

Receber informações do sistema

Descrição

Retorna informações do sistema sobre os endpoints do Trellix ePO. Entidades aceitas: nome do host, IP.

Parâmetros

Parâmetro Tipo Valor padrão É obrigatório Descrição
Criar insight Caixa de seleção Caixa de seleção marcada Se ativada, a ação vai criar um insight com informações sobre o endpoint.

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
FreeDiskSpace Retorna se ele existe no resultado JSON
Nome de usuário Retorna se ele existe no resultado JSON
DomainName Retorna se ele existe no resultado JSON
LastAgentHandler Retorna se ele existe no resultado JSON
IPV4x Retorna se ele existe no resultado JSON
OSBitMode Retorna se ele existe no resultado JSON
IPV6 Retorna se ele existe no resultado JSON
OSType Retorna se ele existe no resultado JSON
SysvolFreeSpace Retorna se ele existe no resultado JSON
IPHostName Retorna se ele existe no resultado JSON
CPUSerialNum Retorna se ele existe no resultado JSON
IPSubnetMask Retorna se ele existe no resultado JSON
SysvolTotalSpace Retorna se ele existe no resultado JSON
IPSubnet Retorna se ele existe no resultado JSON
Descrição Retorna se ele existe no resultado JSON
FreeMemory Retorna se ele existe no resultado JSON
CPUSpeed Retorna se ele existe no resultado JSON
SubnetMask Retorna se ele existe no resultado JSON
IPAddress Retorna se ele existe no resultado JSON
DefaultLangID Retorna se ele existe no resultado JSON
OSPlatform Retorna se ele existe no resultado JSON
NetAddress Retorna se ele existe no resultado JSON
TotalDiskSpace Retorna se ele existe no resultado JSON
SubnetAddress Retorna se ele existe no resultado JSON
NumOfCPU Retorna se ele existe no resultado JSON
TimeZone Retorna se ele existe no resultado JSON
SystemDescription Retorna se ele existe no resultado JSON
Vdi Retorna se ele existe no resultado JSON
OSBuildNum Retorna se ele existe no resultado JSON
OSVersion Retorna se ele existe no resultado JSON
IsPortable Retorna se ele existe no resultado JSON
TotalPhysicalMemory Retorna se ele existe no resultado JSON
IPXAddress Retorna se ele existe no resultado JSON
UserProperty7 Retorna se ele existe no resultado JSON
ParentID Retorna se ele existe no resultado JSON
CPUType Retorna se ele existe no resultado JSON
Insights

imagem (1134)

Resultado do JSON
[
    {
        "EntityResult":
        {
            "FreeDiskSpace": "444316",
            "UserName": "Admin",
            "OSServicePackVer": " ",
            "DomainName": "WORKGROUP",
            "LastAgentHandler": "1",
            "IPV4x": "-1979711239",
            "OSBitMode": "1",
            "IPV6": "0:0:0:0:0:FFFF:A00:F9",
            "OSType": "Windows Server 2012 R2",
            "SysvolFreeSpace": "94782",
            "IPHostName": "McAfee-ePO",
            "CPUSerialNum": "N/A",
            "IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
            "SysvolTotalSpace": "161647",
            "IPSubnet": "0:0:0:0:0:FFFF:A00:0",
            "Description": "None",
            "FreeMemory": "1626767360",
            "CPUSpeed": "2400",
            "SubnetMask": " ",
            "IPAddress": "1.1.1.1",
            "DefaultLangID": "0409",
            "OSPlatform": "Server",
            "ComputerName": "MCAFEE-EPO",
            "OSOEMID": "00252-00112-26656-AA653",
            "NetAddress": "005056A56847",
            "TotalDiskSpace": "511646",
            "SubnetAddress": " ",
            "NumOfCPU": "4",
            "TimeZone": "Jerusalem Standard Time",
            "SystemDescription": "N/A",
            "Vdi": "0",
            "OSBuildNum": "9600",
            "OSVersion": "6.3",
            "IsPortable": "0",
            "TotalPhysicalMemory": "6441984000",
            "IPXAddress": "N/A",
            "UserProperty7": " ",
            "UserProperty6": " ",
            "UserProperty5": " ",
            "UserProperty4": " ",
            "UserProperty3": " ",
            "UserProperty2": " ",
            "UserProperty1": " ",
            "ParentID": "8",
            "CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
            "UserProperty8": " "
        },
        "Entity": "1.1.1.1"
    }
]
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Se for bem-sucedida para um (is_success=true):

As informações do sistema sobre os seguintes endpoints do Trellix ePO foram recuperadas com sucesso: {entity.identifier}

Se não for concluída para um (is_success=true):

Não foi possível recuperar informações do sistema sobre os seguintes endpoints do Trellix ePO: {entity.identifier}

Se não for concluída para todos (is_success=false)

Nenhuma informação do sistema foi encontrada sobre os endpoints fornecidos.

Se houver um erro crítico:

Erro ao executar a ação "Receber informações do sistema". Motivo: {error.traceback}

 Geral

Receber a versão do agente do mecanismo antivírus

Descrição

Recupere informações da versão do agente do Virus Engine dos endpoints no McAfee ePO. Entidades compatíveis: nome de host, IP.

Parâmetros

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
Versão do agente do mecanismo antivírus N/A N/A
Resultado do JSON
{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

se o sucesso for para um

As informações da versão do agente do Virus Engine foram recuperadas com sucesso dos seguintes endpoints no Trellix ePO: {entity.identifier}

if not success for one

A ação não conseguiu recuperar informações da versão do agente do Virus Engine dos seguintes endpoints no Trellix ePO: {entity.identifier}

se não houver sucesso para todos

Nenhuma informação sobre a versão do agente do Virus Engine foi encontrada nos endpoints fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Get Virus Engine Agent Version". Motivo: {traceback}

 Geral

Ping

Descrição

Teste a conectividade com o Trellix ePO usando os parâmetros fornecidos na página de configuração da integração, na guia "Marketplace" do Google Security Operations.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
null N/A N/A
Resultado do JSON
N/A

Remover tag

Descrição

Remova uma tag de um endpoint no Trellix ePO. Entidades compatíveis: nome de host, IP.

Parâmetros

Parâmetro Tipo Valor padrão É obrigatório Descrição
Nome da tag String N/A Sim Especifique o nome da tag que precisa ser removida dos endpoints.

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
N/A
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Se houver sucesso para um (is_success=true):

A tag "{tag name}" foi removida dos seguintes endpoints:

no Trellix ePO: {entity.identifier}

Se a tag não fizer parte do endpoint: (is_success=true):

A tag "{tag}" não fazia parte dos seguintes endpoints no Trellix ePO: {entity.identifier}

Se não houver sucesso para um (is_success=true)

Não foi possível remover a tag "{tag name}" dos seguintes endpoints no Trellix ePO: {entity.identifier}

Se não houver sucesso para todos (is_success=false):

A tag "{tag} não foi removida dos endpoints fornecidos".

se erro crítico (falha):

Erro ao executar a ação "Remover tag". Motivo: {traceback}

Se a tag for inválida (falha)

Erro ao executar a ação "Remover tag". Motivo: a tag "{tag name}" não foi encontrada no Trellix ePO.

 Geral

Executar verificação completa

Descrição

Execute uma verificação completa nos endpoints fornecidos no Trellix ePO. Entidades aceitas: nome do host, IP.

Parâmetros

Parâmetro Tipo Valor padrão É obrigatório Descrição
Nome da tarefa String Verificação sob demanda: verificação completa Sim Especifique qual tarefa deve ser executada para fazer uma verificação completa.

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
RunTask_Status N/A N/A
Resultado do JSON
{
"status": "success" or "failure"
}
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Se houver sucesso para um:

A verificação completa foi executada com êxito com base na tarefa "{task name}" nos seguintes endpoints do Trellix ePO: {entity.identifier}

Se não houver sucesso para um:

Não foi possível executar a verificação completa com base na tarefa "{task name}" nos seguintes endpoints do Trellix ePO: {entity.identifier}

Se não houver sucesso em todos:

A verificação completa não foi executada nos endpoints fornecidos.

se erro crítico (falha):

Erro ao executar a ação "Executar verificação completa". Motivo: {error traceback}

se a tarefa não for encontrada (falha):

Erro ao executar a ação "Executar verificação completa". Motivo: a tarefa "{nome da tarefa}" não foi encontrada no Trellix ePO. Verifique a ortografia.

 Geral

Atualizar o McAfee Agent

Descrição

Atualize o McAfee Agent nos endpoints fornecidos no Trellix ePO. Tarefa para Windows: DAT_Update_Windows_CWS. Tarefa para Linux: DAT_Update_Linux_CWS. Entidades aceitas: nome do host, IP.

Parâmetros

Parâmetro Tipo Valor padrão É obrigatório Descrição
Nome da tarefa String DAT_Update_Windows_CWS Sim Especifique qual tarefa deve ser executada para atualizar o McAfee Agent. O padrão para Windows é DAT_Update_Windows_CWS. Para Linux, é DAT_Update_Linux_CWS

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
Update_Status N/A N/A
Resultado do JSON
{
"status": "success" or "failure"
}
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

Se houver sucesso para um:

Agentes atualizados com base na tarefa "{task name}" nos seguintes endpoints do Trellix ePO: {entity.identifier}

Se não houver sucesso para um:

Não foi possível atualizar o agente com base na tarefa "{task name}" nos seguintes endpoints do Trellix ePO: {entity.identifier}

Se não houver sucesso em todos:

Nenhum dos agentes foi atualizado.

se erro crítico (falha):

Erro ao executar a ação "Atualizar o McAfee Agent". Motivo: {error traceback}

se a tarefa não for encontrada (falha):

Erro ao executar a ação "Atualizar o McAfee Agent". Motivo: a tarefa "{nome da tarefa}" não foi encontrada no Trellix ePO. Verifique a ortografia.

 Geral

Conector

Conector de ameaças do McAfee EPO

Descrição

Extraia eventos da tabela EPOEvents para o Google SecOps. A lista de permissões funciona com nomes de analisadores.

Configurar o conector de ameaças do McAfee EPO no Google SecOps

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome do campo do produto String Nome do produto Sim Insira o nome do campo de origem para recuperar o nome do campo do produto.
Nome do campo do evento String EPOEvents_ThreatType Sim Insira o nome do campo de origem para recuperar o nome do campo de evento.
Nome do campo de ambiente String "" Não

Descreve o nome do campo em que o nome do ambiente é armazenado.

Se o campo de ambiente não for encontrado, o ambiente será o padrão.
Padrão de regex do ambiente String .* Não

Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente".

O padrão é ".*" para capturar tudo e retornar o valor sem alterações.

Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex.

Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Tempo limite do script (segundos) Número inteiro 180 Sim Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API String http://x.x.x.x:8443/remote/ Sim Raiz da API da instância do Trellix ePO.
Nome de usuário String N/A Sim Nome de usuário da instância do Trellix ePO.
Senha Senha Sim Senha da instância do Trellix ePO.
Nome do grupo String Não Se fornecido, o conector só vai buscar ameaças em endpoints que fazem parte desse grupo.
Máximo de horas para trás Número inteiro 1 Não Número de horas de onde buscar eventos.
Número máximo de eventos a serem buscados Número inteiro 10 Não Quantos eventos processar por iteração de conector. Padrão: 10.
Menor gravidade a ser buscada String Médio Não

A gravidade mais baixa dos eventos a serem buscados. Por padrão, o conector vai ingerir todos os eventos. Valores possíveis:

Info, Low, Medium, High, Critical.
Usar a lista de permissões como uma lista de proibições Caixa de seleção Selecionado Sim Se ativada, a lista de permissões será usada como uma lista de bloqueios.
Verificar SSL Caixa de seleção Desmarcado Sim Se ativado, verifique se o certificado SSL da conexão com o servidor Trellix ePO é válido.
Arquivo de certificado de CA String N/A Falso Arquivo de certificado de CA codificado em Base64.
Endereço do servidor proxy String N/A Não O endereço do servidor proxy a ser usado.
Nome de usuário do proxy String N/A Não O nome de usuário do proxy para autenticação.
Senha do proxy Senha Não A senha do proxy para autenticação.

Regras de conector

Suporte a proxy

O conector é compatível com proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.