McAfee ePO
整合版本:31.0
在 Google Security Operations 中設定 McAfee ePO 整合
使用 CA 憑證設定 McAfee ePO 整合
如有需要,您可以透過 CA 憑證檔案驗證連線。
開始之前,請確認您具備以下項目:
- CA 憑證檔案
- 最新版 McAfee ePO 整合功能
如要設定與 CA 憑證的整合,請完成下列步驟:
- 將 CA 憑證檔案剖析為 Base64 字串。
- 開啟整合設定參數頁面。
- 將字串插入「CA Certificate File」欄位。
- 如要測試整合設定是否成功,請選取「驗證 SSL」核取方塊,然後按一下「測試」。
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| 伺服器位址 | 字串 | https://<ServerAddress>:8443/remote/ | 是 | Trellix ePO 的伺服器位址。範例:https://127.0.0.1:8443/remote/ |
| 使用者名稱 | 字串 | 不適用 | 是 | 伺服器驗證的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | 伺服器驗證密碼。 |
| 群組名稱 | 字串 | 不適用 | 否 | 群組名稱。 |
| CA 憑證檔案 - 已剖析為 Base64 字串 | 字串 | 不適用 | 否 | 不適用 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
新增標記
說明
在 Trellix ePO 中為端點新增標記。注意:你只能套用系統中已有的標籤。支援的實體:主機名稱、IP。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 標記名稱 | 字串 | 不適用 | 是 | 指定要新增至端點的標記名稱。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果其中一個成功 (is_success=true): 已成功將「{tag name}」標記新增至以下端點: Trellix ePO:{entity.identifier} 如果代碼已是端點的一部分 (is_success=true): 標記「{tag}」已是 Trellix ePO 中下列端點的一部分:{entity.identifier} 如果其中一個未成功 (is_success=true) 動作無法將「{tag name}」標記新增至 Trellix ePO 中的下列端點:{entity.identifier} 如果並非全部成功 (is_success=false): 標記「{tag} 未新增至提供的端點。」 如果發生重大錯誤 (失敗): 執行「新增代碼」動作時發生錯誤。原因:{traceback} 如果標記無效 (失敗) 執行「新增標記」動作時發生錯誤,原因:在 Trellix ePO 中找不到標記「{tag name}」。 |
一般 |
比較伺服器和代理程式 DAT
說明
從 Trellix ePO 中的端點擷取伺服器和代理程式 DAT 資訊。 支援的實體:主機名稱、IP。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| Alert.DstPort | 如果 JSON 結果中存在該值,則傳回該值 |
| Rule.msg | 如果 JSON 結果中存在該值,則傳回該值 |
| Alert.IPSIDAlertID | 如果 JSON 結果中存在該值,則傳回該值 |
| Alert.SrcIP | 如果 JSON 結果中存在該值,則傳回該值 |
| Alert.LastTime | 如果 JSON 結果中存在該值,則傳回該值 |
| Alert.Protocol | 如果 JSON 結果中存在該值,則傳回該值 |
| Alert.SrcPort | 如果 JSON 結果中存在該值,則傳回該值 |
| Alert.DstIP | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| null | 不適用 | 不適用 |
JSON 結果
{
"server_version": {server_version}
"dat_version": {dat_version}
"equal": true → if server_version == dat_version, else false
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if success for one 已從 Trellix ePO 的下列端點成功擷取伺服器和代理程式 DAT 資訊:{entity.identifier} if not success for one 動作無法從 Trellix ePO 的下列端點擷取伺服器和代理程式 DAT 資訊:{entity.identifier} 如果並非所有項目都成功 在提供的端點上找不到伺服器和代理程式 DAT 的相關資訊。 如果發生重大錯誤 (失敗): 執行「比較伺服器和代理程式 DAT」動作時發生錯誤。原因:{traceback} |
一般 |
取得代理程式資訊
說明
從 Trellix ePO 擷取端點代理程式的相關資訊。支援的實體:主機名稱、IP。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| EPO_LastUpdate | 如果 JSON 結果中存在該值,則傳回該值 |
| EPO_ManagedState | 如果 JSON 結果中存在該值,則傳回該值 |
| EPO_Tags | 如果 JSON 結果中存在該值,則傳回該值 |
| EPO_ExcludedTags | 如果 JSON 結果中存在該值,則傳回該值 |
| EPO_AgentVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| EPO_AgentGUID | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult":
{
"LastUpdate": "2019-01-22T13:04:49+02:00",
"ManagedState": "1",
"Tags": "Server, Workstation",
"ExcludedTags": "",
"AgentVersion": "1.1.1.1",
"AgentGUID": "F673D1DF-786C-41E5-A84D-1676A39F7AE8"
},
"Entity": "1.1.1.1"
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果其中一個成功 (is_success=true): 已成功擷取 Trellix ePO 中下列端點的代理程式資訊:{entity.identifier} 如果其中一個未成功 (is_success=true) 動作無法在 Trellix ePO 中擷取下列端點的代理程式資訊:{entity.identifier} 如果並非全部成功 (is_success=false): 找不到所提供主機的議程資訊。 如果發生重大錯誤 (失敗): 執行「取得代理人資訊」動作時發生錯誤。原因:{traceback} |
一般 |
取得 Dat 版本
說明
從 Trellix ePO 中的端點擷取 DAT 資訊。支援的實體: 主機名稱、IP。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| Dat 版本 | 不適用 | 不適用 |
JSON 結果
{
"DAT_version": {DAT version}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if success for one 已從 Trellix ePO 的下列端點成功擷取 DAT 資訊:{entity.identifier} if not success for one 動作無法從 Trellix ePO 中的下列端點擷取 DAT 資訊:{entity.identifier} 如果並非所有項目都成功 在提供的端點上找不到 DAT 相關資訊。 如果發生重大錯誤 (失敗): 執行「Get Dat Version」動作時發生錯誤。原因:{traceback} |
一般 |
取得雜湊的事件
說明
擷取與雜湊相關的事件資訊。注意:僅支援 MD5 雜湊。
參數
| 名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 從 EPExtendedEvent 資料表擷取事件 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,動作也會使用「EPExtendedEvent」資料表尋找雜湊相關資訊。 |
| 標示為可疑 | 核取方塊 | 是 | 否 | 如果啟用這項動作,系統會將找到事件的所有雜湊值標示為可疑。 |
| 建立洞察資料 | 核取方塊 | 否 | 否 | 如果啟用,動作會建立洞察資料,其中包含與雜湊相關聯的事件資訊。 |
| 要傳回的欄位 | CSV | EPOEvents.ThreatName、 |
否 | 指定要傳回哪些欄位。如未指定任何內容,動作會傳回所有可用欄位。 |
| 排序欄位 | 字串 | 不適用 | 否 | 指定要用於排序結果的欄位。 |
| 排序順序 | DDL | 遞增 可能的值: 遞增 遞減 |
否 | 指定查詢應套用的排序順序。 |
| 時間範圍 | DDL | 過去 1 小時 可能的值: 過去 1 小時 過去 6 小時內 最近 24 小時 上週 上個月 自訂 |
否 | 指定事件的時間範圍。如果選取「自訂」,您還需要提供「開始時間」。 |
| 開始時間 | 字串 | 不適用 | 否 | 指定活動的開始時間。如果為「時間範圍」參數選取「自訂」,則必須提供這個參數。格式:ISO 8601 |
| 結束時間 | 字串 | 不適用 | 否 | 指定活動的結束時間。格式:ISO 8601。如果未提供任何值,且為「時間範圍」參數選取「自訂」,則這個參數會使用目前時間。 |
| 要傳回的事件數量上限 | 整數 | 50 | 否 | 指定要傳回的事件數量。預設值為 50。 |
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| EPOEvents.ThreatCategory | 如果 JSON 結果中存在該值,則傳回該值 |
| EPOEvents.TargetUserName | 如果 JSON 結果中存在該值,則傳回該值 |
| EPOEvents.TargetPort | 如果 JSON 結果中存在該值,則傳回該值 |
| EPOEvents.TargetFileName | 如果 JSON 結果中存在該值,則傳回該值 |
| EPOEvents.TargetIPV4 | 如果 JSON 結果中存在該值,則傳回該值 |
| EPO_AgentGUID | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
系統會為在 Trellix ePO 中找到目前雜湊的事件建立洞察資料。
JSON 結果
[
{
"EntityResult":
[
{
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}, {
"EPOEvents.ThreatCategory": "av.detect",
"EPOEvents.TargetUserName": "VM-EPOAGENTTEST\\\\\\\\Admin",
"EPOEvents.TargetPort": "None",
"EPOEvents.TargetFileName": "C:\\\\\\\\Users\\\\\\\\Admin\\\\\\\\Desktop\\\\\\\\eicar.txt",
"EPOEvents.TargetIPV4": -1979711347,
"EPOEvents.ThreatName": "EICAR test file",
"EPOEvents.SourceUserName": "None",
"EPOEvents.TargetProcessName": "None",
"EPOEvents.SourceProcessName": "None",
"EPOEvents.ThreatType": "test",
"EPOEvents.SourceIPV4": -1979711347,
"EPOEvents.TargetProtocol": "None",
"VSECustomEvent.MD5": "44d88612fea8a8f36de82e1278abb02f",
"EPOEvents.SourceURL": "None",
"EPOEvents.ThreatActionTaken": "deleted",
"EPOEvents.TargetHostName": "VM-EPOAGENTTEST",
"EPOEvents.ThreatHandled": "True",
"EPOEvents.SourceHostName": "_"
}],
"Entity": "44d88612fea8a8f36de82e1278abb02f"
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功且有結果可用:(is_success=true) 「Successfully returned available events for the following hashes in Trellix ePO: {entity.identifier}」(已成功傳回 Trellix ePO 中下列雜湊的可用事件:{entity.identifier}) 如果其中一個未成功:(is_success=true) 「Action wasn't able to find events for the following hashes in Trellix ePO: {entity.identifier}」(動作無法在 Trellix ePO 中找到下列雜湊的事件:{entity.identifier}) 如果所有項目都未成功 (is_success=false): 「No events were found for the provided endpoints in Trellix ePO.」(在 Trellix ePO 中,找不到所提供端點的任何事件)。 如果發生重大錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤 (失敗):「執行『取得端點威脅』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果回應中出現錯誤 (失敗):「執行動作『執行實體查詢』時發生錯誤。原因:{0}''.format( response text) 如果「開始時間」為空白,且「時間範圍」為「自訂」(失敗):「Error executing action "Get Endpoint Threats". 原因:「時間範圍」參數選取「自訂」時,必須提供「開始時間」。 |
一般 |
取得主機 IP 狀態
說明
從 Trellix ePO 中的端點擷取 IPS 資訊。支援的實體: 主機名稱、IP。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_status_received | True/False | is_status_received:False |
JSON 結果
{
"IPS_status": {IPS_status}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if success for one 已從 Trellix ePO 中的下列端點成功擷取 IPS 資訊:{entity.identifier} if not success for one 動作無法從 Trellix ePO 中的下列端點擷取 IPS 資訊:{entity.identifier} 如果並非所有項目都成功 在提供的端點上找不到 IPS 相關資訊。 如果發生重大錯誤 (失敗): 執行「Get Host IPS Status」動作時發生錯誤。原因:{traceback} |
一般 |
取得主機網路 IP 狀態
說明
從 Trellix ePO 中的端點擷取網路 IPS 資訊。支援的實體:主機名稱、IP。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_status_received | True/False | is_status_received:False |
JSON 結果
{
"Network_IPS_status": {Network_IPS_status}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if success for one 已從 Trellix ePO 的下列端點成功擷取網路 IPS 資訊:{entity.identifier} if not success for one 動作無法從 Trellix ePO 中的下列端點擷取網路 IPS 資訊:{entity.identifier} 如果並非所有項目都成功 在提供的端點上找不到網路 IPS 相關資訊。 如果發生重大錯誤 (失敗): 執行動作「Get Host Network IPS Status」時發生錯誤。原因:{traceback} |
一般 |
取得上次通訊時間
說明
從 Trellix ePO 中的端點擷取上次通訊時間的相關資訊。支援的實體:主機名稱、IP。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| isSuccess | True/False | isSuccess:False |
JSON 結果
{
"last_communication_time": {last_communication_time}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if success for one 已從 Trellix ePO 中的下列端點成功擷取上次通訊時間資訊:{entity.identifier} if not success for one 動作無法從 Trellix ePO 的下列端點擷取上次通訊時間資訊:{entity.identifier} 如果並非所有項目都成功 提供的端點上找不到上次通訊時間的相關資訊。 如果發生重大錯誤 (失敗): 執行「取得上次通訊時間」動作時發生錯誤。原因:{traceback} |
一般 |
取得 McAfee Epo 代理程式版本
說明
從 Trellix ePO 的端點擷取代理程式版本資訊。 支援的實體:主機名稱、IP。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| McAfee Agent 版本 | 不適用 | 不適用 |
JSON 結果
{
"ePO_agent_version": ePO_agent_version
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if success for one 已從 Trellix ePO 的下列端點成功擷取代理程式版本資訊:{entity.identifier} if not success for one 動作無法從 Trellix ePO 中的下列端點擷取代理程式版本資訊:{entity.identifier} 如果並非所有項目都成功 在提供的端點上找不到代理程式版本資訊。 如果發生重大錯誤 (失敗): 執行「取得上次通訊時間」動作時發生錯誤。原因:{traceback} |
一般 |
取得系統資訊
說明
從 Trellix ePO 傳回端點的系統資訊。支援的實體:主機名稱、IP。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 建立洞察資料 | 核取方塊 | 已勾選核取方塊 | 啟用後,這項動作會建立洞察資料,內含端點相關資訊。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| FreeDiskSpace | 如果 JSON 結果中存在該值,則傳回該值 |
| 使用者名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| DomainName | 如果 JSON 結果中存在該值,則傳回該值 |
| LastAgentHandler | 如果 JSON 結果中存在該值,則傳回該值 |
| IPV4x | 如果 JSON 結果中存在該值,則傳回該值 |
| OSBitMode | 如果 JSON 結果中存在該值,則傳回該值 |
| IPV6 | 如果 JSON 結果中存在該值,則傳回該值 |
| OSType | 如果 JSON 結果中存在該值,則傳回該值 |
| SysvolFreeSpace | 如果 JSON 結果中存在該值,則傳回該值 |
| IPHostName | 如果 JSON 結果中存在該值,則傳回該值 |
| CPUSerialNum | 如果 JSON 結果中存在該值,則傳回該值 |
| IPSubnetMask | 如果 JSON 結果中存在該值,則傳回該值 |
| SysvolTotalSpace | 如果 JSON 結果中存在該值,則傳回該值 |
| IPSubnet | 如果 JSON 結果中存在該值,則傳回該值 |
| 說明 | 如果 JSON 結果中存在該值,則傳回該值 |
| FreeMemory | 如果 JSON 結果中存在該值,則傳回該值 |
| CPUSpeed | 如果 JSON 結果中存在該值,則傳回該值 |
| SubnetMask | 如果 JSON 結果中存在該值,則傳回該值 |
| IPAddress | 如果 JSON 結果中存在該值,則傳回該值 |
| DefaultLangID | 如果 JSON 結果中存在該值,則傳回該值 |
| OSPlatform | 如果 JSON 結果中存在該值,則傳回該值 |
| NetAddress | 如果 JSON 結果中存在該值,則傳回該值 |
| TotalDiskSpace | 如果 JSON 結果中存在該值,則傳回該值 |
| SubnetAddress | 如果 JSON 結果中存在該值,則傳回該值 |
| NumOfCPU | 如果 JSON 結果中存在該值,則傳回該值 |
| TimeZone | 如果 JSON 結果中存在該值,則傳回該值 |
| SystemDescription | 如果 JSON 結果中存在該值,則傳回該值 |
| Vdi | 如果 JSON 結果中存在該值,則傳回該值 |
| OSBuildNum | 如果 JSON 結果中存在該值,則傳回該值 |
| OSVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| IsPortable | 如果 JSON 結果中存在該值,則傳回該值 |
| TotalPhysicalMemory | 如果 JSON 結果中存在該值,則傳回該值 |
| IPXAddress | 如果 JSON 結果中存在該值,則傳回該值 |
| UserProperty7 | 如果 JSON 結果中存在該值,則傳回該值 |
| ParentID | 如果 JSON 結果中存在該值,則傳回該值 |
| CPUType | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
.png?hl=zh-tw)
JSON 結果
[
{
"EntityResult":
{
"FreeDiskSpace": "444316",
"UserName": "Admin",
"OSServicePackVer": " ",
"DomainName": "WORKGROUP",
"LastAgentHandler": "1",
"IPV4x": "-1979711239",
"OSBitMode": "1",
"IPV6": "0:0:0:0:0:FFFF:A00:F9",
"OSType": "Windows Server 2012 R2",
"SysvolFreeSpace": "94782",
"IPHostName": "McAfee-ePO",
"CPUSerialNum": "N/A",
"IPSubnetMask": "0:0:0:0:0:FFFF:FFFF:FE00",
"SysvolTotalSpace": "161647",
"IPSubnet": "0:0:0:0:0:FFFF:A00:0",
"Description": "None",
"FreeMemory": "1626767360",
"CPUSpeed": "2400",
"SubnetMask": " ",
"IPAddress": "1.1.1.1",
"DefaultLangID": "0409",
"OSPlatform": "Server",
"ComputerName": "MCAFEE-EPO",
"OSOEMID": "00252-00112-26656-AA653",
"NetAddress": "005056A56847",
"TotalDiskSpace": "511646",
"SubnetAddress": " ",
"NumOfCPU": "4",
"TimeZone": "Jerusalem Standard Time",
"SystemDescription": "N/A",
"Vdi": "0",
"OSBuildNum": "9600",
"OSVersion": "6.3",
"IsPortable": "0",
"TotalPhysicalMemory": "6441984000",
"IPXAddress": "N/A",
"UserProperty7": " ",
"UserProperty6": " ",
"UserProperty5": " ",
"UserProperty4": " ",
"UserProperty3": " ",
"UserProperty2": " ",
"UserProperty1": " ",
"ParentID": "8",
"CPUType": "Intel(R) Xeon(R) CPU E5-2630 v3 @ 2.40GHz",
"UserProperty8": " "
},
"Entity": "1.1.1.1"
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果其中一個成功 (is_success=true): 已從 Trellix ePO 成功擷取下列端點的系統資訊:{entity.identifier} 如果其中一個未成功 (is_success=true): 動作無法從 Trellix ePO 擷取下列端點的系統資訊:{entity.identifier} 如果所有項目都未成功 (is_success=false) 找不到所提供端點的系統資訊。 如果發生重大錯誤: 執行「取得系統資訊」動作時發生錯誤。原因:{error.traceback} |
一般 |
取得病毒引擎代理程式版本
說明
從 McAfee ePO 中的端點擷取 Virus Engine 代理程式版本資訊。支援的實體:主機名稱、IP。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 病毒引擎代理程式版本 | 不適用 | 不適用 |
JSON 結果
{
"Virus_Engine_Agent_version": {Virus_engine_agent_version}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | if success for one 已從 Trellix ePO 中的下列端點成功擷取 Virus Engine 代理程式版本資訊:{entity.identifier} if not success for one 動作無法從 Trellix ePO 的下列端點擷取 Virus Engine 代理程式版本資訊:{entity.identifier} 如果並非所有項目都成功 在提供的端點上找不到 Virus Engine 代理程式版本資訊。 如果發生重大錯誤 (失敗): 執行動作「Get Virus Engine Agent Version」時發生錯誤。原因:{traceback} |
一般 |
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Trellix ePO 的連線。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| null | 不適用 | 不適用 |
JSON 結果
N/A
移除標記
說明
從 Trellix ePO 中的端點移除標記。支援的實體:主機名稱、IP。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 標記名稱 | 字串 | 不適用 | 是 | 指定要從端點移除的標記名稱。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果其中一個成功 (is_success=true): 已成功從下列端點移除標記「{tag name}」 在 Trellix ePO 中:{entity.identifier} 如果標記不是端點的一部分 (is_success=true): 標記「{tag}」不屬於 Trellix ePO 中的下列端點:{entity.identifier} 如果其中一個未成功 (is_success=true) 動作無法從 Trellix ePO 的下列端點移除標記「{tag name}」:{entity.identifier} 如果並非全部成功 (is_success=false): 標記「{tag} 未從提供的端點中移除。」 如果發生重大錯誤 (失敗): 執行「移除標記」動作時發生錯誤。原因:{traceback} 如果標記無效 (失敗) 執行「移除標記」動作時發生錯誤,原因:在 Trellix ePO 中找不到標記「{tag name}」。 |
一般 |
執行完整掃描
說明
在 Trellix ePO 中,對提供的端點執行完整掃描。支援的實體: 主機名稱、IP。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 工作名稱 | 字串 | On-Demand Scan - Full Scan | 是 | 指定要執行哪些工作才能進行完整掃描。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| RunTask_Status | 不適用 | 不適用 |
JSON 結果
{
"status": "success" or "failure"
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果其中一個成功: 已根據 Trellix ePO 中「{task name}」工作,在下列端點上成功執行完整掃描:{entity.identifier} 如果其中一個未成功: 根據 Trellix ePO 中下列端點的「{task name}」工作,動作無法執行完整掃描:{entity.identifier} 如果並非所有項目都成功: 未在提供的端點上執行完整掃描。 如果發生重大錯誤 (失敗): 執行「執行完整掃描」動作時發生錯誤。原因:{error traceback} 如果找不到工作 (失敗): 執行「執行完整掃描」動作時發生錯誤。原因:在 Trellix ePO 中找不到工作「{task name}」。請檢查拼字。 |
一般 |
更新 McAfee Agent
說明
在 Trellix ePO 中,更新所提供端點上的 McAfee Agent。Windows 工作: DAT_Update_Windows_CWS。Linux 的工作:DAT_Update_Linux_CWS。支援的實體:主機名稱、IP。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 工作名稱 | 字串 | DAT_Update_Windows_CWS | 是 | 指定要執行哪些工作來更新 McAfee Agent。Windows 的預設值為 DAT_Update_Windows_CWS。Linux 則為 DAT_Update_Linux_CWS |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| Update_Status | 不適用 | 不適用 |
JSON 結果
{
"status": "success" or "failure"
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果其中一個成功: 已根據 Trellix ePO 中下列端點的「{task name}」工作,成功更新代理程式:{entity.identifier} 如果其中一個未成功: 根據 Trellix ePO 中下列端點的「{task name}」工作,動作無法更新代理程式:{entity.identifier} 如果並非所有項目都成功: 沒有任何代理程式更新。 如果發生重大錯誤 (失敗): 執行「更新 McAfee Agent」動作時發生錯誤。原因:{error traceback} 如果找不到工作 (失敗): 執行「更新 McAfee Agent」動作時發生錯誤。原因:在 Trellix ePO 中找不到工作「{task name}」。請檢查拼字。 |
一般 |
連接器
McAfee EPO - Threats Connector
說明
將 EPOEvents 表格中的事件拉進 Google SecOps。白名單 適用於分析器名稱。
在 Google SecOps 中設定 McAfee EPO - Threats 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | EPOEvents_ThreatType | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | http://x.x.x.x:8443/remote/ | 是 | Trellix ePO 執行個體的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Trellix ePO 執行個體的使用者名稱。 |
| 密碼 | 密碼 | 是 | Trellix ePO 執行個體的密碼。 | |
| 群組名稱 | 字串 | 否 | 如果提供,連接器只會從該群組的端點擷取威脅。 | |
| 可倒轉的小時數上限 | 整數 | 1 | 否 | 要擷取事件的小時數。 |
| 要擷取的事件數量上限 | 整數 | 10 | 否 | 每個連接器疊代要處理的事件數。預設值為 10。 |
| 要擷取的最低嚴重程度 | 字串 | 中 | 否 | 要擷取的事件最低嚴重程度。根據預設,連接器會擷取所有事件。可能的值: 資訊、低、中、高、重大。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用這項設定,請確認連線至 Trellix ePO 伺服器的 SSL 憑證有效。 |
| CA 憑證檔案 | 字串 | 不適用 | 否 | Base64 編碼的 CA 憑證檔案。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。