McAfee ePO
集成版本:31.0
在 Google Security Operations 中配置 McAfee ePO 集成
使用 CA 证书配置 McAfee ePO 集成
您可以根据需要使用 CA 证书文件验证连接。
在开始之前,请确保您满足以下条件:
- CA 证书文件
- 最新的 McAfee ePO 集成版本
如需配置与 CA 证书的集成,请完成以下步骤:
- 将您的 CA 证书文件解析为 Base64 字符串。
- 打开集成配置参数页面。
- 将该字符串插入到 CA 证书文件字段中。
- 如需测试集成是否已成功配置,请选中验证 SSL 复选框,然后点击测试。
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| 服务器地址 | 字符串 | https://<ServerAddress>:8443/remote/ | 是 | Trellix ePO 的服务器地址。示例:https://127.0.0.1:8443/remote/ |
| 用户名 | 字符串 | 不适用 | 是 | 用于服务器身份验证的用户名。 |
| 密码 | 密码 | 不适用 | 是 | 用于服务器身份验证的密码。 |
| 组名称 | 字符串 | 不适用 | 否 | 群组的名称。 |
| CA 证书文件 - 解析为 Base64 字符串 | 字符串 | 不适用 | 否 | 不适用 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
添加标记
说明
向 Trellix ePO 中的端点添加标记。注意:您只能应用系统中已有的标记。支持的实体:主机名、IP。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 标记名称 | 字符串 | 不适用 | 是 | 指定需要添加到端点的标记的名称。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果其中一个成功 (is_success=true): 已成功将“{tag name}”标记添加到以下端点 Trellix ePO:{entity.identifier} 如果代码已是端点的一部分(is_success=true): 标记“{tag}”已是 Trellix ePO 中以下端点的一部分:{entity.identifier} 如果其中一个不成功(is_success=true) 操作无法将标记“{tag name}”添加到 Trellix ePO 中的以下端点:{entity.identifier} 如果并非所有操作都成功(is_success=false): “标记‘{tag}’未添加到所提供的端点。” 如果出现严重错误(失败): 执行操作“添加标记”时出错。原因:{traceback} 如果标记无效(失败) 执行“添加标记”操作时出错,原因:在 Trellix ePO 中未找到标记“{tag name}”。 |
常规 |
比较服务器 DAT 和代理 DAT
说明
从 Trellix ePO 中的端点检索服务器和代理 DAT 信息。 支持的实体:主机名、IP。
参数
不适用
使用场景
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| Alert.DstPort | 返回 JSON 结果中是否存在相应值 |
| Rule.msg | 返回 JSON 结果中是否存在相应值 |
| Alert.IPSIDAlertID | 返回 JSON 结果中是否存在相应值 |
| Alert.SrcIP | 返回 JSON 结果中是否存在相应值 |
| Alert.LastTime | 返回 JSON 结果中是否存在相应值 |
| Alert.Protocol | 返回 JSON 结果中是否存在相应值 |
| Alert.SrcPort | 返回 JSON 结果中是否存在相应值 |
| Alert.DstIP | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| null | 不适用 | 不适用 |
JSON 结果
{
"server_version": {server_version}
"dat_version": {dat_version}
"equal": true → if server_version == dat_version, else false
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果一个成功 已成功从 Trellix ePO 中的以下端点检索到服务器和代理 DAT 信息:{entity.identifier} 如果其中一个未成功 操作无法从 Trellix ePO 中的以下端点检索服务器和代理 DAT 信息:{entity.identifier} 如果并非所有操作都成功 在提供的端点上未找到有关服务器和代理 DAT 的任何信息。 如果出现严重错误(失败): 执行操作“比较服务器和代理 DAT”时出错。原因:{traceback} |
常规 |
获取代理信息
说明
从 Trellix ePO 检索有关端点代理的信息。支持的实体:主机名、IP。
参数
不适用
使用场景
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| EPO_LastUpdate | 返回 JSON 结果中是否存在相应值 |
| EPO_ManagedState | 返回 JSON 结果中是否存在相应值 |
| EPO_Tags | 返回 JSON 结果中是否存在相应值 |
| EPO_ExcludedTags | 返回 JSON 结果中是否存在相应值 |
| EPO_AgentVersion | 返回 JSON 结果中是否存在相应值 |
| EPO_AgentGUID | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果其中一个成功 (is_success=true): 已成功检索到 Trellix ePO 中以下端点的代理信息:{entity.identifier} 如果其中一个不成功(is_success=true) 操作无法检索 Trellix ePO 中以下端点的代理信息:{entity.identifier} 如果并非所有操作都成功(is_success=false): 未找到所提供主持人的议程信息。 如果出现严重错误(失败): 执行操作“获取代理信息”时出错。原因:{traceback} |
常规 |
获取 Dat 版本
说明
从 Trellix ePO 中的端点检索 DAT 信息。支持的实体:主机名、IP。
参数
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| Dat 版本 | 不适用 | 不适用 |
JSON 结果
{
"DAT_version": {DAT version}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果一个成功 已成功从 Trellix ePO 中的以下端点检索到 DAT 信息:{entity.identifier} 如果其中一个未成功 操作无法从 Trellix ePO 中的以下端点检索 DAT 信息:{entity.identifier} 如果并非所有操作都成功 在所提供的端点上未找到有关 DAT 的任何信息。 如果出现严重错误(失败): 执行操作“获取 DAT 版本”时出错。原因:{traceback} |
常规 |
获取哈希的事件
说明
检索与哈希相关的事件的信息。注意:仅支持 MD5 哈希。
参数
| 名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 从 EPExtendedEvent 表中提取事件 | 复选框 | 尚未核查 | 否 | 如果启用,操作还将使用“EPExtendedEvent”表来查找有关哈希的信息。 |
| 标记为可疑 | 复选框 | 是 | 错误 | 如果启用,此操作会将发现有事件的所有哈希标记为可疑。 |
| 创建分析数据 | 复选框 | 否 | 错误 | 如果启用,操作将创建一条包含以下信息的分析洞见:哪些哈希值关联了事件。 |
| 要返回的字段 | CSV | EPOEvents.ThreatName、 |
错误 | 指定要返回哪些字段。如果未指定任何内容,则操作将返回所有可用字段。 |
| 排序字段 | 字符串 | 不适用 | 错误 | 指定应使用哪个字段对结果进行排序。 |
| 排序顺序 | DDL | 升序 可能的值: 升序 降序 |
错误 | 指定应应用于查询的排序顺序。 |
| 时间范围 | DDL | 过去 1 小时 可能的值: 过去 1 小时 过去 6 小时 过去 24 小时 上周 上个月 自定义 |
错误 | 为活动指定时间范围。如果选择“自定义”,您还需要提供“开始时间”。 |
| 开始时间 | 字符串 | 不适用 | 错误 | 指定活动的开始时间。如果为“时间范围”参数选择“自定义”,则此参数是必需的。格式:ISO 8601 |
| 结束时间 | 字符串 | 不适用 | 错误 | 指定活动的结束时间。格式:ISO 8601。如果未提供任何值,并且为“时间范围”参数选择了“自定义”,则此参数将使用当前时间。 |
| 要返回的事件数量上限 | 整数 | 50 | 错误 | 指定要返回的事件数量。默认值:50。 |
运行于
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| EPOEvents.ThreatCategory | 返回 JSON 结果中是否存在相应值 |
| EPOEvents.TargetUserName | 返回 JSON 结果中是否存在相应值 |
| EPOEvents.TargetPort | 返回 JSON 结果中是否存在相应值 |
| EPOEvents.TargetFileName | 返回 JSON 结果中是否存在相应值 |
| EPOEvents.TargetIPV4 | 返回 JSON 结果中是否存在相应值 |
| EPO_AgentGUID | 返回 JSON 结果中是否存在相应值 |
数据分析
系统将针对在 Trellix ePO 中找到的当前哈希的事件创建数据洞见。
JSON 结果
[
{
"EntityResult":
[
{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功且有结果可用:(is_success=true) “已成功返回 Trellix ePO 中以下哈希的可用事件:{entity.identifier}” 如果其中一个不成功:(is_success=true) “Action 无法在 Trellix ePO 中找到以下哈希的事件:{entity.identifier}” 如果并非所有操作都成功(is_success=false): “在 Trellix ePO 中,未找到所提供端点的任何事件。” 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误 [失败]):“执行操作‘获取端点威胁’时出错。原因:{0}''.format(error.Stacktrace) 如果响应中存在错误(失败):“执行操作‘执行实体查询’时出错。原因:{0}''.format( response text) 如果“开始时间”为空,且“时间范围”为“自定义”(失败):“执行操作‘获取端点威胁’时出错。原因:如果“时间范围”参数中选择了“自定义”,则应提供“开始时间”。 |
常规 |
获取主机 IP 状态
说明
从 Trellix ePO 中的端点检索 IPS 信息。支持的实体:主机名、IP。
参数
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_status_received | True/False | is_status_received:False |
JSON 结果
{
"IPS_status": {IPS_status}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果一个成功 已成功从 Trellix ePO 中的以下端点检索到 IPS 信息:{entity.identifier} 如果其中一个未成功 操作无法从 Trellix ePO 中的以下端点检索 IPS 信息:{entity.identifier} 如果并非所有操作都成功 在提供的端点上未找到有关 IPS 的任何信息。 如果出现严重错误(失败): 执行操作“获取主机 IPS 状态”时出错。原因:{traceback} |
常规 |
获取主机网络 IP 状态
说明
从 Trellix ePO 中的端点检索网络 IPS 信息。支持的实体:主机名、IP。
参数
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_status_received | True/False | is_status_received:False |
JSON 结果
{
"Network_IPS_status": {Network_IPS_status}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果一个成功 已成功从 Trellix ePO 中的以下端点检索到网络 IPS 信息:{entity.identifier} 如果其中一个未成功 操作无法从 Trellix ePO 中的以下端点检索网络 IPS 信息:{entity.identifier} 如果并非所有操作都成功 在提供的端点上未找到有关网络 IPS 的信息。 如果出现严重错误(失败): 执行操作“获取宿主网络 IPS 状态”时出错。原因:{traceback} |
常规 |
获取上次通信时间
说明
从 Trellix ePO 中的端点检索有关上次通信时间的信息。支持的实体:主机名、IP。
参数
不适用
使用场景
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| isSuccess | True/False | isSuccess:False |
JSON 结果
{
"last_communication_time": {last_communication_time}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果一个成功 已成功从 Trellix ePO 中的以下端点检索到上次通信时间信息:{entity.identifier} 如果其中一个未成功 操作无法从 Trellix ePO 中的以下端点检索上次通信时间信息:{entity.identifier} 如果并非所有操作都成功 在所提供的端点上未找到有关上次通信时间的信息。 如果出现严重错误(失败): 执行操作“获取上次通信时间”时出错。原因:{traceback} |
常规 |
获取 McAfee Epo 代理版本
说明
从 Trellix ePO 中的端点检索有关代理版本的信息。 支持的实体:主机名、IP。
参数
不适用
使用场景
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| McAfee Agent 版本 | 不适用 | 不适用 |
JSON 结果
{
"ePO_agent_version": ePO_agent_version
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果一个成功 已成功从 Trellix ePO 中的以下端点检索代理版本信息:{entity.identifier} 如果其中一个未成功 操作无法从 Trellix ePO 中的以下端点检索代理版本信息:{entity.identifier} 如果并非所有操作都成功 在提供的端点上未找到有关代理版本的信息。 如果出现严重错误(失败): 执行操作“获取上次通信时间”时出错。原因:{traceback} |
常规 |
获取系统信息
说明
返回 Trellix ePO 中端点的系统信息。支持的实体:主机名、IP。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 创建分析数据 | 复选框 | 复选框已勾选 | 如果启用,操作将创建包含有关端点信息的洞见。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| FreeDiskSpace | 返回 JSON 结果中是否存在相应值 |
| 用户名 | 返回 JSON 结果中是否存在相应值 |
| DomainName | 返回 JSON 结果中是否存在相应值 |
| LastAgentHandler | 返回 JSON 结果中是否存在相应值 |
| IPV4x | 返回 JSON 结果中是否存在相应值 |
| OSBitMode | 返回 JSON 结果中是否存在相应值 |
| IPV6 | 返回 JSON 结果中是否存在相应值 |
| OSType | 返回 JSON 结果中是否存在相应值 |
| SysvolFreeSpace | 返回 JSON 结果中是否存在相应值 |
| IPHostName | 返回 JSON 结果中是否存在相应值 |
| CPUSerialNum | 返回 JSON 结果中是否存在相应值 |
| IPSubnetMask | 返回 JSON 结果中是否存在相应值 |
| SysvolTotalSpace | 返回 JSON 结果中是否存在相应值 |
| IPSubnet | 返回 JSON 结果中是否存在相应值 |
| 说明 | 返回 JSON 结果中是否存在相应值 |
| FreeMemory | 返回 JSON 结果中是否存在相应值 |
| CPUSpeed | 返回 JSON 结果中是否存在相应值 |
| SubnetMask | 返回 JSON 结果中是否存在相应值 |
| IPAddress | 返回 JSON 结果中是否存在相应值 |
| DefaultLangID | 返回 JSON 结果中是否存在相应值 |
| OSPlatform | 返回 JSON 结果中是否存在相应值 |
| NetAddress | 返回 JSON 结果中是否存在相应值 |
| TotalDiskSpace | 返回 JSON 结果中是否存在相应值 |
| SubnetAddress | 返回 JSON 结果中是否存在相应值 |
| NumOfCPU | 返回 JSON 结果中是否存在相应值 |
| TimeZone | 返回 JSON 结果中是否存在相应值 |
| SystemDescription | 返回 JSON 结果中是否存在相应值 |
| Vdi | 返回 JSON 结果中是否存在相应值 |
| OSBuildNum | 返回 JSON 结果中是否存在相应值 |
| OSVersion | 返回 JSON 结果中是否存在相应值 |
| IsPortable | 返回 JSON 结果中是否存在相应值 |
| TotalPhysicalMemory | 返回 JSON 结果中是否存在相应值 |
| IPXAddress | 返回 JSON 结果中是否存在相应值 |
| UserProperty7 | 返回 JSON 结果中是否存在相应值 |
| ParentID | 返回 JSON 结果中是否存在相应值 |
| CPUType | 返回 JSON 结果中是否存在相应值 |
数据分析
.png?hl=zh-cn)
JSON 结果
[
{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": " ",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": " ",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": " ",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": " ",
"UserProperty6": " ",
"UserProperty5": " ",
"UserProperty4": " ",
"UserProperty3": " ",
"UserProperty2": " ",
"UserProperty1": " ",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": " "
},
"Entity": "1.1.1.1"
}
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果其中一个成功(is_success=true): 已成功从 Trellix ePO 检索到以下端点的系统信息:{entity.identifier} 如果其中一个不成功(is_success=true): 操作无法从 Trellix ePO 中检索以下端点的系统信息:{entity.identifier} 如果并非所有操作都成功(is_success=false) 未找到有关所提供端点的任何系统信息。 如果出现严重错误: 执行操作“获取系统信息”时出错。原因:{error.traceback} |
常规 |
获取病毒引擎代理版本
说明
从 McAfee ePO 中的端点检索病毒引擎代理版本信息。支持的实体:主机名、IP。
参数
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 病毒引擎代理版本 | 不适用 | 不适用 |
JSON 结果
{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果一个成功 已成功从 Trellix ePO 中的以下端点检索到病毒引擎代理版本信息:{entity.identifier} 如果其中一个未成功 操作无法从 Trellix ePO 中的以下端点检索病毒引擎代理版本信息:{entity.identifier} 如果并非所有操作都成功 在所提供的端点上未找到有关病毒引擎代理版本的信息。 如果出现严重错误(失败): 执行操作“获取病毒引擎代理版本”时出错。原因:{traceback} |
常规 |
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Trellix ePO 的连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| null | 不适用 | 不适用 |
JSON 结果
N/A
移除代码
说明
从 Trellix ePO 中的端点移除标记。支持的实体:主机名、IP。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 标记名称 | 字符串 | 不适用 | 是 | 指定需要从端点中移除的标记的名称。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果其中一个成功 (is_success=true): 已成功从以下端点中移除标记“{tag name}” 在 Trellix ePO 中:{entity.identifier} 如果标记不是端点的一部分(is_success=true): 标记“{tag}”不是 Trellix ePO 中以下端点的一部分:{entity.identifier} 如果其中一个不成功(is_success=true) 操作无法从 Trellix ePO 中的以下端点移除标记“{tag name}”:{entity.identifier} 如果并非所有操作都成功(is_success=false): “未从所提供的端点中移除标记‘{tag}’。” 如果出现严重错误(失败): 执行操作“移除标记”时出错。原因:{traceback} 如果标记无效(失败) 执行“移除标记”操作时出错,原因:在 Trellix ePO 中未找到标记“{tag name}”。 |
常规 |
运行全面扫描
说明
在 Trellix ePO 中对提供的端点运行完整扫描。支持的实体:主机名、IP。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 任务名称 | 字符串 | 按需扫描 - 全面扫描 | 是 | 指定应执行哪些任务才能获得完整扫描结果。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| RunTask_Status | 不适用 | 不适用 |
JSON 结果
{
"status": "success" or "failure"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果其中一个成功: 已在 Trellix ePO 中成功运行基于任务“{task name}”的以下端点的完整扫描:{entity.identifier} 如果其中一个未成功: 无法根据 Trellix ePO 中以下端点上的任务“{task name}”运行完整扫描:{entity.identifier} 如果并非所有操作都成功: 未在提供的端点上执行完整扫描。 如果出现严重错误(失败): 执行操作“运行完整扫描”时出错。原因:{error traceback} 如果找不到任务(失败): 执行操作“运行完整扫描”时出错。原因:在 Trellix ePO 中找不到任务“{task name}”。请检查拼写。 |
常规 |
更新 McAfee Agent
说明
在 Trellix ePO 中更新所提供端点上的 McAfee Agent。适用于 Windows 的任务: DAT_Update_Windows_CWS。适用于 Linux 的任务:DAT_Update_Linux_CWS。支持的实体:主机名、IP。
参数
| 参数 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 任务名称 | 字符串 | DAT_Update_Windows_CWS | 是 | 指定应执行哪些任务来更新 McAfee Agent。Windows 的默认值为 DAT_Update_Windows_CWS。对于 Linux,它是 DAT_Update_Linux_CWS |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| Update_Status | 不适用 | 不适用 |
JSON 结果
{
"status": "success" or "failure"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果其中一个成功: 已成功根据 Trellix ePO 中以下端点上的任务“{task name}”更新代理:{entity.identifier} 如果其中一个未成功: 无法根据 Trellix ePO 中以下端点上的任务“{task name}”更新代理:{entity.identifier} 如果并非所有操作都成功: 未更新任何代理。 如果出现严重错误(失败): 执行操作“更新 McAfee Agent”时出错。原因:{error traceback} 如果找不到任务(失败): 执行操作“更新 McAfee Agent”时出错。原因:在 Trellix ePO 中找不到任务“{task name}”。请检查拼写。 |
常规 |
连接器
McAfee EPO - Threats 连接器
说明
将 EPOEvents 表中的事件拉取到 Google SecOps 中。白名单适用于分析器名称。
在 Google SecOps 中配置 McAfee EPO - Threats 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | EPOEvents_ThreatType | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | http://x.x.x.x:8443/remote/ | 是 | Trellix ePO 实例的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Trellix ePO 实例的用户名。 |
| 密码 | 密码 | 是 | Trellix ePO 实例的密码。 | |
| 组名称 | 字符串 | 否 | 如果提供,连接器将仅从属于该组的端点提取威胁。 | |
| 回溯的小时数上限 | 整数 | 1 | 否 | 提取事件的小时数。 |
| 要提取的事件数量上限 | 整数 | 10 | 否 | 每次连接器迭代要处理的事件数量。默认值:10。 |
| 要提取的最低严重程度 | 字符串 | 中 | 否 | 要提取的事件的最低严重程度。默认情况下,连接器会注入所有事件。可能的值: 信息、低、中、高、严重。 |
| 将白名单用作黑名单 | 复选框 | 勾选 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果启用,则验证与 Trellix ePO 服务器的连接的 SSL 证书是否有效。 |
| CA 证书文件 | 字符串 | 不适用 | 错误 | Base64 编码的 CA 证书文件。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。