McAfee ESM
Versão da integração: 41.0
Exemplos de utilização da integração
- Carregue alarmes ou correlações para o Google Security Operations
- A integração permite-lhe carregar informações do McAfee ESM para o Google SecOps. Em particular, para introduzir alarmes e correlações que podem ser posteriormente triados na plataforma SOAR. Isto pode ser conseguido com o conector do McAfee ESM para a ingestão de alarmes e o conector de correlações do McAfee ESM para a ingestão de correlações.
- Analise detalhadamente para obter mais contexto acerca do incidente de segurança
- A integração suporta várias ações que lhe permitem executar consultas personalizadas (Get Similar Events, Send Advanced Query, Send Query To ESM, Send Entity Query To ESM) e obter informações sobre eventos. Também existe a ação Get Similar Events, que consulta eventos relacionados com os endereços IP, os nomes de anfitriões e os utilizadores no alerta do Google SecOps.
- Monitorize IOCs com listas de observação
- A integração suporta a adição e a remoção de itens das listas de visualização. Isto permite-lhe atualizar constantemente uma lista de observação com endereços IP ou hashes suspeitos.
Rede
Acesso à API do Google SecOps ao McAfee ESM: permita o tráfego através da porta 443 (HTTPS) (ou conforme configurado no seu ambiente).
Gestão de sessões
O McAfee ESM tem um parâmetro global que limita o número de sessões por utilizador.
No Google SecOps, existe um mecanismo completo para a gestão de sessões, para que a integração use a mesma sessão em toda a integração. Os valores da sessão são armazenados encriptados na entrada da base de dados McAfee_ESM_Action_Sessions_*.json e McAffee_ESM_Connector_Sessions_*.json.
Recomendações:
- Ter um utilizador para ações e um utilizador para conetores.
- Devem estar disponíveis, pelo menos, duas sessões por utilizador.
Estas recomendações são necessárias para que a integração seja estável.
Compatibilidade da integração
| Nome do produto | Versão | Implementação | Notas |
|---|---|---|---|
| McAfee ESM | 11,1-11,5 | Nas instalações | A integração foi testada com as versões do produto 11.1 a 11.5 e a API usada na integração não foi modificada. Se a API não tiver sido atualizada nas versões mais recentes, a integração continua a funcionar. |
Configure a integração do McAfeeESM no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de configuração da integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Raiz da API | Sring | https://{ip}/rs/ | Sim | Raiz da API para a instância. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da instância. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da instância. |
| Versão do produto | String | 11,5 | Sim | Versão do produto. Valores possíveis: 11.1-11.5 |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, valida se o certificado SSL para a ligação ao servidor McAfee ESM é válido. |
Ações
Adicione valores à lista de visualização
Descrição da ação
Adicione valores a uma lista de visualização no McAfee ESM.
Utilização de ações
Use esta ação para atualizar a lista de observação com novos valores. Por exemplo, se tiver uma lista de observação para hashes maliciosos, pode usar esta ação para manter a lista de observação atualizada.
Parâmetros de configuração de ações
Use os seguintes parâmetros para configurar a ação:
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Nome da lista de visualização | String | N/A | Sim | Especifique o nome da lista de observação que tem de ser atualizada. |
| Valores a adicionar | CSV | N/A | Sim | Especifique uma lista de valores separados por vírgulas que têm de ser adicionados a uma lista de observação. |
Âmbito da entidade de ação
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for comunicado o código de estado 200 (is_success=true): "O valor foi adicionado com êxito à lista de observação." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas ou nenhuma ligação ao servidor: "Erro ao executar a ação "Adicionar valores à lista de observação". Motivo: {0}".format(error.Stacktrace) Se forem comunicados erros na resposta: "Erro ao executar a ação "Adicionar valores à lista de observação". Motivo: {message}. |
Geral |
Get Similar Events
Descrição da ação
Receber eventos relacionados com as entidades no McAfee ESM. Entidades suportadas: nome de anfitrião, endereço IP, utilizador.
Parâmetros de configuração de ações
Use os seguintes parâmetros para configurar a ação:
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Horas atrás | String | 1 | Sim | Especifique o número de horas para trás que quer pesquisar. |
| ID do IPS | String | 144115188075855872/8 | Não | Especifique o IP SID para a pesquisa. |
| Limite de resultados | String | 50 | Não | Especifique o número de resultados a devolver. O valor máximo do parâmetro: 200 por entidade. |
Âmbito da entidade de ação
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
- Utilizador
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult":
[{
"Alert.DstPort": "0",
"Rule.msg": "User Logon",
"Alert.IPSIDAlertID": "144115188075855872|383521",
"Action.Name": "success",
"Alert.SrcIP": "1.1.1.1",
"Alert.LastTime": "05/28/2019 14:18:10",
"Alert.Protocol": "n/a",
"Alert.SrcPort": "0",
"Alert.DstIP": "1.1.1.1"
}, {
"Alert.DstPort": "0",
"Rule.msg": "User Logon",
"Alert.IPSIDAlertID": "144115188075855872|383519",
"Action.Name": "success",
"Alert.SrcIP": "1.1.1.1",
"Alert.LastTime": "05/28/2019 14:16:16",
"Alert.Protocol": "n/a",
"Alert.SrcPort": "0",
"Alert.DstIP": "1.1.1.1"
}],
"Entity": "1.1.1.1"
}
]
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Alert.DstPort | Devolve se existir no resultado JSON |
| Rule.msg | Devolve se existir no resultado JSON |
| Alert.IPSIDAlertID | Devolve se existir no resultado JSON |
| Alert.SrcIP | Devolve se existir no resultado JSON |
| Alert.LastTime | Devolve se existir no resultado JSON |
| Alert.Protocol | Devolve se existir no resultado JSON |
| Alert.SrcPort | Devolve se existir no resultado JSON |
| Alert.DstIP | Devolve se existir no resultado JSON |
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 for comunicado para uma entidade (is_success=true): "Successfully retrieved events for the following entities in McAfee ESM: {entities}" (Eventos obtidos com êxito para as seguintes entidades no McAfee ESM: {entities}) Se não existirem dados para uma entidade (is_success=true): "Não foi possível obter eventos para as seguintes entidades no McAfee ESM: {entities}." Se não existirem dados para todas as entidades (is_success=false): "Não foram encontrados eventos para as entidades fornecidas no McAfee ESM." Mensagem assíncrona: "A aguardar a conclusão da consulta para {pending entities}." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico: "Erro ao executar a ação "Obter eventos semelhantes". Motivo: {0}".format(error.Stacktrace) Se a ação tiver excedido o tempo limite: "Erro ao executar a ação "Obter eventos semelhantes". Motivo: a ação iniciou a consulta, mas atingiu um limite de tempo durante a obtenção de dados. Aumente o limite de tempo no IDE e tente novamente." |
Geral |
| Tabela de parede da caixa | Todos os campos da resposta. | Entidade |
Tchim-tchim
Descrição da ação
Teste a conetividade ao McAfee ESM com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros de configuração de ações
Esta ação não tem parâmetros de entrada obrigatórios.
Âmbito da entidade de ação
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação ao servidor McAfee ESM estabelecida com êxito com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor do McAfee ESM! O erro é {0}".format(exception.stacktrace) |
Geral |
Remova valores da lista de visualização
Descrição da ação
Remova valores de uma lista de visualização no McAfee ESM.
Utilização de ações
Use esta ação para remover determinados valores da lista de visualização. Por exemplo, se tiver uma lista de observação para hashes maliciosos e descobrir que um dos hashes é benigno, pode removê-lo da lista de observação.
Parâmetros de configuração de ações
Use os seguintes parâmetros para configurar a ação:
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Nome da lista de visualização | String | N/A | Sim | Especifique o nome da lista de observação que tem de ser atualizada. |
| Valores a remover | CSV | N/A | Sim | Especifique uma lista de valores separados por vírgulas que têm de ser removidos de uma lista de visualização. |
Âmbito da entidade de ação
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Parede da caixa
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for comunicado o código de estado 200 (is_success=true): "O valor foi adicionado com êxito à lista de observação." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas ou nenhuma ligação ao servidor: "Erro ao executar a ação "Remover valores da lista de observação". Motivo: {0}".format(error.Stacktrace) Se forem comunicados erros na resposta: "Erro ao executar a ação "Remover valores da lista de observação". Motivo: {message}." | Geral |
Envie uma consulta avançada para o ESM
Descrição da ação
Envie uma consulta avançada para o ESM.
Utilização de ações
Esta é uma ação avançada que lhe dá total flexibilidade para executar qualquer consulta no McAfee ESM. Esta ação usa o payload da consulta completo como entrada. A ação devolve um máximo de 200 registos, independentemente do que é fornecido na carga útil.
Parâmetros de configuração de ações
Use os seguintes parâmetros para configurar a ação:
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Payload da consulta | String | N/A | Sim | Especifique o objeto JSON que tem de ser executado. A ação devolve um máximo de 200 resultados. |
Crie um payload de consulta
Para criar um payload de consulta, conclua os seguintes passos:
- Inicie sessão na IU do McAfee ESM e abra as ferramentas para programadores no seu navegador.
- Aceda ao separador Rede.
- Clique em Adicionar separador e adicione uma nova vista.
- Clique em Adicionar widget.
Na caixa de diálogo Configuração do widget, introduza o título do widget e selecione a consulta que quer executar.
Nas Ferramentas para programadores, vai ver o pedido da API
runningQuery.Aceda ao separador Payload e clique em Ver origem.
Copie o payload e cole-o no campo do parâmetro Payload da consulta.
Âmbito da entidade de ação
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"Rule.msg": "* Latest Kubernetes 1.18 beta is now available for your laptop, NUC, cloud",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Starting Message of the Day...",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Started Message of the Day.",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "https://xxxxxxxx.run/",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "* Multipass 1.1 adds proxy support for developers behind enterprise",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "sudo snap install microk8s --channel=1.18/beta --classic",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Starting Daily apt upgrade and clean activities...",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Started Daily apt upgrade and clean activities.",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "firewalls. Rapid prototyping for cloud operations just got easier.",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "instance or Raspberry Pi, with automatic updates to the final GA release.",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Data Center : Telmetry Posting",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Send Password Expiry Notification",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Data Center: Telemetry Notifier to Collect Data",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Update successful",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Update successful",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "8198-software protection platform service",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "1003-software protection platform service",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "The Time Provider NtpClient is Currently Receiving Valid Time Data",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Time service now synchronizing system time",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "1",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "autorefresh.go:397: auto-refresh: all snaps are up-to-date",
"COUNT(*)": "2",
"SUM(Alert.EventCount)": "2",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "storehelpers.go:436: cannot refresh: snap has no updates available: \\\"amazon-ssm-agent\\\", \\\"core\\\"",
"COUNT(*)": "2",
"SUM(Alert.EventCount)": "2",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "The Windows Security Center Service could not start Windows Defender",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "2",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "A user's local group membership was enumerated",
"COUNT(*)": "2",
"SUM(Alert.EventCount)": "2","Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "The System Time Has Changed",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "3",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "The system time was changed.",
"COUNT(*)": "1",
"SUM(Alert.EventCount)": "3",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "User Logon",
"COUNT(*)": "4",
"SUM(Alert.EventCount)": "4",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "16384-software protection platform service",
"COUNT(*)": "7",
"SUM(Alert.EventCount)": "7",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "16394-software protection platform service",
"COUNT(*)": "7",
"SUM(Alert.EventCount)": "7",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Linux crond Session opened",
"COUNT(*)": "10",
"SUM(Alert.EventCount)": "10",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Linux crond Session closed",
"COUNT(*)": "10",
"SUM(Alert.EventCount)": "10",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Linux cron Scheduled Command Executed",
"COUNT(*)": "10",
"SUM(Alert.EventCount)": "10",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "DHCPACK of xx.x.x.xxx from xx.x.x.x",
"COUNT(*)": "19",
"SUM(Alert.EventCount)": "19",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Linux dhclient Renewal",
"COUNT(*)": "19",
"SUM(Alert.EventCount)": "19",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Linux DHCP Client Request",
"COUNT(*)": "19",
"SUM(Alert.EventCount)": "19",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Special Privileges Assigned",
"COUNT(*)": "28",
"SUM(Alert.EventCount)": "28",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Special privileges assigned to new logon.",
"COUNT(*)": "21",
"SUM(Alert.EventCount)": "30",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "An account was successfully logged on",
"COUNT(*)": "21",
"SUM(Alert.EventCount)": "30",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Endpoint Security Firewall Property Translator",
"COUNT(*)": "40",
"SUM(Alert.EventCount)": "40",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Retrieve broker health information",
"COUNT(*)": "41",
"SUM(Alert.EventCount)": "41",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "5379-microsoft-windows-security-auditing",
"COUNT(*)": "10",
"SUM(Alert.EventCount)": "90",
"Alert.DSIDSigID": "12345-2223334445"
},{
"Rule.msg": "Returns a list of DXL Registered Services",
"COUNT(*)": "43",
"SUM(Alert.EventCount)": "164",
"Alert.DSIDSigID": "12345-2223334445"
}
]
Parede da caixa
Se a ação excedeu o limite de tempo: "Erro ao executar a ação "Enviar consulta avançada para o ESM". Motivo: a ação iniciou a consulta, mas atingiu um limite de tempo durante a obtenção de dados. Aumente o limite de tempo no IDE e tente novamente."
| Tipo de resultado | Valor/descrição | Texto |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 (is_success=true): "Dados obtidos com êxito para a consulta fornecida no McAfee ESM." Se não existirem dados para uma entidade (is_success=true): "Não foram encontrados dados para a consulta fornecida no McAfee ESM." Mensagem assíncrona: "A aguardar a conclusão da consulta…" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico: "Erro ao executar a ação "Enviar consulta avançada para o ESM". Motivo: {0}".format(error.Stacktrace) Se for comunicado o código de estado 400 ou 500:"Erro ao executar a ação "Enviar consulta avançada para o ESM". Motivo: {0}";.format(response) |
Geral |
| Tabela de parede da caixa | Todos os campos da resposta. | Geral |
Enviar consulta para o ESM
Descrição da ação
Envie uma consulta para o ESM.
Utilização de ações
Use esta ação para analisar mais detalhadamente o alerta do Google SecOps. Pode obter eventos, recursos e informações de fluxo.
Parâmetros de configuração de ações
Use os seguintes parâmetros para configurar a ação:
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Intervalo de tempo | Lista pendente | LAST_24_HOURS Valores possíveis:
|
Sim | Especifique um período para os resultados. Se |
| Hora de início | String | N/A | Não | Especifique a hora de início dos resultados. Este parâmetro é obrigatório se Formato: ISO 8601 |
| Hora de fim | String | N/A | Não | Especifique a hora de fim dos resultados. Formato: ISO 8601. Se não for fornecido nada e |
| Nome do campo de filtro | String | N/A | Sim | Especifique o nome do campo que vai ser usado para a filtragem. |
| Operador de filtro | Lista pendente | IGUAL A Valores possíveis:
| Sim | Especifique o operador que deve ser usado no filtro. |
| Valores do filtro | String | N/A | Sim | Especifique uma lista de valores separados por vírgulas que vão ser usados no filtro. |
| Campos a obter | CSV | N/A | Não | Especifique uma lista de campos separados por vírgulas que devem ser devolvidos. Se não for fornecido nada, a ação usa os campos predefinidos. |
| Campo de ordenação | String | N/A | Não | Especifique o parâmetro que deve ser usado para a ordenação. Este parâmetro espera o campo no formato {tabela}.{nome da chave}. Se o parâmetro for fornecido noutro formato, a ação ignora-o. Exemplo: Alert.LastTime |
| Disposição da Ordenação | Lista pendente | ASC Valores possíveis:
|
Não | Especifique a ordem de ordenação. |
| Tipo de consulta | Lista pendente | EVENTO Valores possíveis:
|
Sim | Especifique o que tem de ser consultado. |
| Máximo de resultados a devolver | Número inteiro | 50 | Sim | Especifique o número de resultados a devolver. O valor predefinido do parâmetro: 50. O valor máximo do parâmetro: 200. |
Trabalhe com o parâmetro de intervalo de tempo
O parâmetro Intervalo de tempo especifica o período a usar quando executa a consulta. A ação suporta muitos valores predefinidos que pode selecionar. Também pode definir um intervalo de tempo personalizado.
Para definir o intervalo de tempo personalizado, tem de definir o parâmetro Intervalo de tempo como
Custom e fornecer um valor ISO 8601 para o parâmetro Hora de início. Por predefinição, o parâmetro Hora de fim aponta para a hora atual.
Especifique campos para os parâmetros Filter Field Name, Fields To Fetch e Sort Field
Para especificar campos para os parâmetros Field Name, Fields To Fetch e Sort Field do filtro, conclua os seguintes passos:
- Inicie sessão na IU do McAfee ESM e abra as ferramentas para programadores no seu navegador.
Aceda ao separador Rede.
Clique em Adicionar separador e adicione uma nova vista.
Clique em Adicionar widget.
Na caixa de diálogo Configuração do widget:
- Na secção Campos, selecione todos os campos que lhe interessam.
- Introduza um título personalizado e defina Origem da consulta como
Events. Para recursos, selecioneAssetse, para fluxos, selecioneFlows.
Depois de selecionar todos os campos de que precisa, clique em Criar.
Nas Ferramentas para programadores, é apresentado o pedido
runningQuery. Obtenha detalhes acerca deste pedido e aceda à secção Pedido. Aí, é apresentada uma lista de todos os nomes da API dos campos que indicou.
Problemas conhecidos
- A API McAfee ESM usada pela ação para enviar uma consulta (
qryExecuteDetail) tem comportamentos inesperados em cenários em que é usada uma chave de tipo não suportado (chaves FLOAT) com os operadoresGREATER_OR_EQUALS_THANouLESS_OR_EQUALS_THAN. Valide os tipos dos campos que são usados. - Foi observado que algumas combinações de teclas não devolvem resultados, mesmo que o filtro não tenha devolvido um erro da API McAfee.
Âmbito da entidade de ação
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"Rule.msg": "McAfee EDB database server state change alert",
"Alert.AvgSeverity": "25",
"Alert.SrcIP": "::",
"Alert.EventCount": "1",
"Alert.LastTime": "02/12/2019 20:45:45",
"Alert.Protocol": "n/a",
"Action.Name": "informational",
"Alert.IPSIDAlertID": "144115188075855872|1",
"Alert.DstIP": "10.0.0.10"
}
]
Parede da caixa
Se a ação tiver excedido o limite de tempo: "Erro ao executar a ação "Enviar consulta para o ESM". Motivo: a ação iniciou a consulta, mas atingiu um limite de tempo durante a obtenção de dados. Aumente o limite de tempo no IDE e tente novamente."
| Tipo de resultado | Valor/descrição | Texto |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 (is_success=true): "Dados obtidos com êxito para a consulta fornecida no McAfee ESM." Se não existirem dados para uma entidade (is_success=true): "Não foram encontrados dados para a consulta fornecida no McAfee ESM." Mensagem assíncrona: "A aguardar a conclusão da consulta…" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico: "Erro ao executar a ação "Enviar consulta para o ESM". Motivo: {0}".format(error.Stacktrace) Se for comunicado o código de estado 400 ou 500:"Erro ao executar a ação "Enviar consulta para o ESM". Motivo: {0}".format(response) |
Geral |
| Tabela de parede da caixa | Todos os campos da resposta. | Geral |
Enviar consulta de entidade para o ESM
Descrição da ação
Envie uma consulta para o ESM com base em entidades. Entidades suportadas: endereço IP, nome de anfitrião.
Utilização de ações
Use esta ação para analisar mais detalhadamente o alerta do Google SecOps relativamente às entidades. Pode obter informações sobre eventos, recursos e fluxos. Ao contrário da ação Enviar consulta para o ESM, esta ação também adiciona um filtro de entidades como parte da consulta.
Parâmetros de configuração de ações
Use os seguintes parâmetros para configurar a ação:
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição | |
|---|---|---|---|---|---|
| Chave da entidade de endereço IP | String | Alert.SrcIP | Sim | Especifique a chave que vai estar com a entidade de endereço IP durante a filtragem. Se for fornecida uma chave inválida, a ação continua a devolver resultados, mas estes são inesperados. |
|
| Chave da entidade de nome do anfitrião | String | N/A | Sim | Especifique a chave que é usada com a entidade Hostname durante a filtragem. Se for fornecida uma chave inválida, a ação continua a devolver resultados, mas estes são inesperados. |
|
| Intervalo de tempo | Lista pendente | LAST_HOUR Valores possíveis:
|
Sim | Especifique um período para os resultados. Se Custom estiver selecionado, também tem de indicar o parâmetro Hora de início. |
|
| Hora de início | String | N/A | Não | Especifique a hora de início dos resultados. Este parâmetro é obrigatório se Formato: ISO 8601 |
|
| Hora de fim | String | N/A | Não | Especifique a hora de fim dos resultados. Formato: ISO 8601. Se não for fornecido nada e |
|
| Nome do campo de filtro | String | N/A | Sim | Especifique o nome do campo que vai ser usado para a filtragem. | |
| Operador de filtro | Lista pendente | IGUAL A Valores possíveis:
| Sim | Especifique o operador que deve ser usado no filtro. | |
| Valores do filtro | String | N/A | Sim | Especifique uma lista de valores separados por vírgulas que vão ser usados no filtro. | |
| Campos a obter | CSV | N/A | Não | Especifique uma lista de campos separados por vírgulas que devem ser devolvidos. Se não for fornecido nada, a ação usa os campos predefinidos. |
|
| Campo de ordenação | String | N/A | Não | Especifique o parâmetro que deve ser usado para a ordenação. Este parâmetro espera o campo no formato {tabela}.{nome da chave}. Se o parâmetro for fornecido noutro formato, a ação ignora-o. Exemplo: Alert.LastTime |
|
| Disposição da Ordenação | Lista pendente | ASC Valores possíveis:
|
Não | Especifique a ordem de ordenação. | |
| Máximo de resultados a devolver | Número inteiro | 50 | Sim | Especifique o número de resultados a devolver. O valor predefinido do parâmetro: 50. O valor máximo do parâmetro: 200. |
Trabalhe com o parâmetro de intervalo de tempo
O parâmetro Intervalo de tempo especifica o período a usar quando executa a consulta. A ação suporta muitos valores predefinidos que pode selecionar. Também pode definir um intervalo de tempo personalizado.
Para definir o intervalo de tempo personalizado, tem de definir o parâmetro Intervalo de tempo como
Custom e fornecer um valor ISO 8601 para o parâmetro Hora de início. Por predefinição, o parâmetro Hora de fim aponta para a hora atual.
Especifique campos para os parâmetros Filter Field Name, Fields To Fetch e Sort Field
Para especificar campos para os parâmetros Filter Field Name, Fields To Fetch e Sort Field, conclua os seguintes passos:
- Inicie sessão na IU do McAfee ESM e abra as ferramentas para programadores no seu navegador.
Aceda ao separador Rede.
Clique em Adicionar separador e adicione uma nova vista.
Clique em Adicionar widget.
Na caixa de diálogo Configuração do widget:
- Na secção Campos, selecione todos os campos que lhe interessam.
- Introduza um título personalizado e defina Origem da consulta como
Events. Para recursos, selecioneAssetse, para fluxos, selecioneFlows.
Depois de selecionar todos os campos de que precisa, clique em Criar.
Nas Ferramentas para programadores, é apresentado o pedido
runningQuery. Obtenha detalhes acerca deste pedido e aceda à secção Pedido. Aí, é apresentada uma lista de todos os nomes da API dos campos que indicou.
Trabalhe com os parâmetros da chave de entidade do endereço IP e da chave de entidade do nome do anfitrião
Os parâmetros IP Address Entity Key e Hostname Entity Key definem a chave usada no filtro. Por exemplo, se o parâmetro IP Address Entity Key
estiver definido como Alert.SrcIP, a ação cria um filtro de endereços IP com a chave Alert.SrcIP. Consoante o seu exemplo de utilização, pode modificar a chave que
é usada.
Problemas conhecidos
- A API McAfee ESM usada pela ação para enviar uma consulta (
qryExecuteDetail) tem comportamentos inesperados em cenários em que é usada uma chave de tipo não suportado (chaves FLOAT) com os operadoresGREATER_OR_EQUALS_THANouLESS_OR_EQUALS_THAN. Valide os tipos dos campos que são usados. - Foi observado que algumas combinações de teclas não devolvem resultados, mesmo que o filtro não tenha devolvido um erro da API McAfee.
Âmbito da entidade de ação
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"Rule.msg": "McAfee EDB database server state change alert",
"Alert.AvgSeverity": "25",
"Alert.SrcIP": "::",
"Alert.EventCount": "1",
"Alert.LastTime": "02/12/2019 20:45:45",
"Alert.Protocol": "n/a",
"Action.Name": "informational",
"Alert.IPSIDAlertID": "144115188075855872|1",
"Alert.DstIP": "10.0.0.10"
}
]
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 for comunicado(is_success=true): "Dados obtidos com êxito para as seguintes entidades no McAfee ESM: {entity.identifier}" Se não existirem dados para todas as entidades: "Não foram encontrados dados no McAfee ESM para as seguintes entidades: {entity.id}." Se o código de estado 400 ou 500 for comunicado para uma entidade específica: "As consultas não foram executadas no McAfee ESM para as seguintes entidades: {entity.id}. Verifique a configuração." Se não existirem dados para todas as entidades (is_success=true): "Não foram encontrados dados para as entidades fornecidas no McAfee ESM" Mensagem assíncrona: "A aguardar a conclusão do processamento da entidade…"
A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico: "Erro ao executar a ação "Enviar consulta de entidade para o ESM". Motivo: {0}''.format(error.Stacktrace)." Se o código de estado 400 ou 500 for comunicado para todas as entidades: "Erro ao executar a ação "Enviar consulta de entidade para o ESM". Motivo: {response}' Se a ação tiver um limite de tempo: "Erro ao executar a ação "Enviar consulta de entidade para o ESM". Motivo: a ação iniciou a consulta, mas ocorreu um limite de tempo durante a obtenção de dados para as seguintes entidades: {entity.identifier}. Aumente o limite de tempo no IDE e tente novamente. Nota: se tentar novamente, é enviada outra mensagem." |
Geral |
| Tabela de parede da caixa | Todos os campos da resposta. | Entidade |
Conetores
Atualização de conetores: versão de integração: 34.0
Os conetores foram reformulados na versão 34.0 da integração. Foram otimizadas para serem menos propensas a erros e mais fáceis de manter. Também foram adicionadas novas funcionalidades.
Se quiser atualizar o conector para a versão 34.0, recomendamos que se familiarize primeiro com os parâmetros de configuração do conector. A atualização do conector não afeta os manuais de procedimentos.
Conetor McAfeeESM
Descrição do conetor
Extrair informações sobre alarmes do McAfee ESM.
Utilização do conetor
Use o conector para carregar correlações e eventos relacionados para o Google SecOps. Neste conetor, um alerta do Google SecOps é representado por um evento de correlação.
Os eventos do Google SecOps são criados com base nos dados dos seguintes objetos:
- Dados de alarmes
- Dados de eventos de correlação: a correlação é um evento de acionador criado a partir de regras de correlação
- Dados de eventos de origem: eventos base que causaram uma correlação ou um alarme
Exemplo do evento do Google SecOps com base nos dados de alarmes:
Exemplo do evento do Google SecOps com base nos dados de correlação ou de eventos de origem:
Cada evento do Google SecOps contém informações não processadas da API, juntamente com
chaves adicionais que foram adicionadas para facilitar o mapeamento. Para distinguir os diferentes tipos de eventos do Google SecOps, existe uma chave data_type personalizada.
Esta chave pode conter os seguintes valores:
- Alarme
- Evento de correlação
- Evento de origem
Campos de tipo personalizado em eventos do Google SecOps
Os eventos de correlação/origem do McAfee ESM podem incluir campos personalizados cuja representação da API não processada não é adequada para fins de mapeamento.
Exemplo dos dados do tipo personalizado não processados:
"customTypes": [
{
"fieldId": 1,
"fieldName": "AppID",
"definedFieldNumber": 1,
"unformattedValue": "374385694492",
"formatedValue": "WIN"
},
{
"fieldId": 7,
"fieldName": "UserIDSrc",
"definedFieldNumber": 7,
"unformattedValue": "22018731010750406",
"formatedValue": "NGCP"
},
{
"fieldId": 4259842,
"fieldName": "Message_Text",
"definedFieldNumber": 9,
"unformattedValue": "11049395522927265911",
"formatedValue": "User Log In succeeded"
}
]
No evento do Google SecOps, os mesmos campos são representados da seguinte forma:
{
"{fieldName}": "{formatedValue}",
"AppID": "WIN",
"UserIDSrc": "NGCP",
"Message_Text": "formatedValue",
"customTypeFields": {
"{fieldName}": "{formatedValue}",
"AppID": "WIN",
"UserIDSrc": "NGCP",
"Message_Text": "formatedValue"
}
}
Recomendamos que use marcadores de posição com a chave customTypeFields, uma vez que os valores dos marcadores de posição representam corretamente o campo personalizado. Os campos personalizados que
são representados no nível acima podem conter informações enganadoras. Se existisse uma chave com o mesmo nome antes de o campo personalizado ser adicionado, os dados da chave original são usados, uma vez que não pode ter chaves duplicadas no ficheiro JSON.
Configure o conetor no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros de configuração do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | data_type | Sim | O nome do campo usado para determinar o produto do dispositivo. |
| Nome do campo de evento | String | alarmName | Sim | O nome do campo usado para determinar o nome do evento (subtipo). |
| Raiz da API | String | https://{ipaddress}/rs/ | Sim | A raiz da API da instância do McAfee ESM. Formato: https://{ip address}/rs/ |
| Palavra-passe | Secreto | N/A | Sim | Palavra-passe da conta do McAfee ESM. |
| PythonProccessTimeout | Número inteiro | 300 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Versão do produto | String | N/A | Sim | Versão do Mcafee ESM. Valores possíveis: 11.1, 11.2, 11.3, 11.4, 11.5. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do McAfee ESM. |
| Desative o Overflow | Caixa de verificação | Desmarcado | Não | Se estiver ativado, o conetor desativa o mecanismo de overflow. Para mais informações acerca deste parâmetro, consulte o artigo Trabalhe com os parâmetros Disable Overflow e Disable Overflow For Alarms. |
| Desative o excesso de alarmes | CSV | N/A | Não | Uma lista separada por vírgulas de nomes de alarmes para os quais o conector vai ignorar o excesso. Este parâmetro requer que o parâmetro Disable Overflow esteja ativado. Para mais informações acerca deste parâmetro, consulte o artigo Trabalhe com os parâmetros Disable Overflow e Disable Overflow For Alarms. |
| Nome do campo do ambiente | String | srcZone | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | :* | Não | Um padrão de regex a executar no valor encontrado no campo Nome do campo do ambiente. A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Carregue 0 alarmes de eventos de origem | Caixa de verificação | Marcado | Não | Se estiver ativado, o conetor carrega alarmes que têm 0 eventos de origem. O conector aguarda o tempo indicado no parâmetro Tempo de preenchimento. Para mais informações acerca deste parâmetro, consulte o artigo Trabalhe com o parâmetro Ingest 0 Source Event Alarms. |
| Gravidade mais baixa a obter | Número inteiro | 0 | Não | A gravidade mais baixa que tem de ser usada para obter alarmes. Os valores possíveis estão no intervalo de 0 a 100. Se não for especificado nada, o conector carrega alarmes com todos os tipos de gravidade. |
| Número máximo de alarmes a obter | Número inteiro | 100 | Não | O número de alarmes a processar por iteração de um conetor. O valor do parâmetro predefinido : 20. |
| Máximo de horas para trás | Número inteiro | 1 | Não | O número de horas a partir das quais os alarmes devem ser obtidos. |
| Tempo de preenchimento | Número inteiro | 1 | Não | O número de horas que o conetor usa para o preenchimento. Este parâmetro descreve o tempo que o conector aguarda para ingerir o alarme com 0 eventos de origem, se o parâmetro Ingest 0 Source Event Alarms estiver desativado. O valor máximo do parâmetro: 6 horas. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Nome do campo do gerador de regras | String | alarmName | Não | Nome do campo usado no gerador de regras. O conector usa |
| Campo do produto do dispositivo secundário | String | N/A | Não | Nome do campo do produto alternativo. |
| Formato de hora | String | %m/%d/%Y %H:%M:%S | Não | Formato de hora usado para ler a data/hora fornecida no McAfee ESM. Se não for fornecido nada ou for fornecido um formato de hora inválido, o conector não efetua a transformação. Para mais informações acerca deste parâmetro, consulte o artigo Trabalhe com os parâmetros de fuso horário e formato de hora. |
| Fuso horário | String | N/A | Não | Fuso horário do evento de origem. Este parâmetro é necessário para transformar a data/hora no formato que reflete a hora UTC+0. Este parâmetro é ignorado se forem fornecidos valores inválidos no parâmetro Formato de hora ou se não for fornecido nada. Para mais informações acerca deste parâmetro, consulte o artigo Trabalhe com os parâmetros de fuso horário e formato de hora. |
| Use uma lista dinâmica como lista de bloqueio | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a lista dinâmica é usada como uma lista de bloqueios. |
| Validar SSL | Caixa de verificação | Desmarcado | Não | Se estiver ativada, valida se o certificado SSL para a ligação ao servidor McAfee ESM é válido. |
Trabalhe com o parâmetro Ingest 0 Source Event Alarms
No McAfee ESM, é possível ter correlações com 0 eventos, o que significa que o alerta do Google SecOps contém apenas um evento do Google SecOps com base nas informações de correlação. Não é recomendável carregar correlações com eventos de origem 0, uma vez que o contexto é perdido.
Se o parâmetro Ingest 0 Source Event Alarms estiver ativado, o conector importa todas as correlações para o sistema Google SecOps, mesmo que existam 0 eventos relacionados. Se este parâmetro estiver desativado, o conetor aguarda até que apareça, pelo menos, um evento de origem no McAfee ESM. O tempo de espera é definido pelo parâmetro Período de preenchimento.
O parâmetro Período de preenchimento especifica o número de horas anteriores (o valor máximo é 6) em que o conector obtém dados em cada iteração. Por exemplo, se o parâmetro Padding Period estiver definido como 2, o conector obtém sempre dados 2 horas antes e começa a processar dados a partir desse momento. Logicamente,
o Tempo de preenchimento representa o número de horas que o conetor aguarda que o evento ocorra para o poder carregar.
Existe uma exceção para dois tipos de alarmes:
- Estado do dispositivo
- Taxa de EPS excedida
Estes alertas provêm da configuração predefinida do McAfee ESM e nunca têm eventos relacionados com eles. O conector ingere-os sempre, independentemente da definição do parâmetro de configuração Ingest 0 Source Event Alarms.
Trabalhe com os parâmetros de fuso horário e formato de hora
Por vezes, a hora e os fusos horários ao nível do servidor do McAfee ESM podem ser configurados com formatos diferentes. Isto pode criar alguns desafios porque, por exemplo, a API McAfee ESM não devolve informações sobre o fuso horário. Por predefinição, o conector trata a data/hora proveniente da API como UTC. Isto pode afetar a hora nos alertas e eventos do Google SecOps, uma vez que as definições de localização são aplicadas.
Por exemplo, a API não processada devolveu uma data/hora em UTC+8. O conetor carregou o alarme e, em seguida, a localização também foi definida como UTC+8. Nesta situação, a data/hora do alerta do Google SecOps ocorre no futuro.
Para ultrapassar este desafio, use o parâmetro Fuso horário. Este parâmetro
define os requisitos para obter a data/hora no formato UTC. Se o Mcafee ESM devolver uma data/hora no formato UTC+8, tem de definir o parâmetro do conetor Fuso horário como -8.
Nos eventos do Google SecOps, foram adicionadas 3 novas chaves:
- As chaves
utc_firstTimeeutc_lastTimepara o evento com base nos dados do evento de correlação/origem. - A chave
utc_triggeredDatepara o evento com base nos dados do alarme.
Trabalhe com os parâmetros Disable Overflow e Disable Overflow For Alarm Names
Por vezes, o McAfee ESM pode ser muito ruidoso e criar muitos eventos de correlação. No Google SecOps, existe um mecanismo de overflow para evitar a criação de demasiados alertas do Google SecOps num curto período de tempo.
Este mecanismo pode ser prejudicial se considerar que todos os alertas são importantes e precisam de ser avaliados. Não recomendamos que desative o mecanismo de overflow. No entanto, se necessário, pode usar os parâmetros Disable Overflow e Disable Overflow For Alarm Names para este fim.
A solução preferencial é usar o parâmetro Disable Overflow For Alarm Names, uma vez que lhe permite fornecer nomes de alarmes específicos que devem ignorar as regras de overflow em vez de desativar o overflow para todos os alarmes.
Conetor de correlações do McAfeeESM
Descrição do conetor
Extraia informações sobre correlações do McAfee ESM.
Utilização do conetor
Use o conector para carregar correlações e eventos relacionados para o Google SecOps. Neste conetor, um alerta do Google SecOps é representado por um evento de correlação.
Os eventos do Google SecOps são criados com base nos dados dos seguintes objetos:
- Dados de eventos de correlação: a correlação é um evento de acionador criado a partir de regras de correlação
- Dados de eventos de origem: eventos base que causaram uma correlação
Exemplo do evento do Google SecOps com base nos dados de correlação ou de eventos de origem:
Cada evento do Google SecOps contém informações não processadas da API, juntamente com
chaves adicionais que foram adicionadas para facilitar o mapeamento. Para distinguir os diferentes tipos de eventos do Google SecOps, existe uma chave data_type personalizada.
Esta chave pode conter os seguintes valores:
- Evento de correlação
- Evento de origem
Campos de tipo personalizado em eventos do Google SecOps
Os eventos de correlação/origem do McAfee ESM podem incluir campos personalizados cuja representação da API não processada não é adequada para fins de mapeamento.
Exemplo dos dados do tipo personalizado não processados:
"customTypes": [
{
"fieldId": 1,
"fieldName": "AppID",
"definedFieldNumber": 1,
"unformattedValue": "374385694492",
"formatedValue": "WIN"
},
{
"fieldId": 7,
"fieldName": "UserIDSrc",
"definedFieldNumber": 7,
"unformattedValue": "22018731010750406",
"formatedValue": "NGCP"
},
{
"fieldId": 4259842,
"fieldName": "Message_Text",
"definedFieldNumber": 9,
"unformattedValue": "11049395522927265911",
"formatedValue": "User Log In succeeded"
}
]
No evento do Google SecOps, os mesmos campos são representados da seguinte forma:
{
"{fieldName}": "{formatedValue}",
"AppID": "WIN",
"UserIDSrc": "NGCP",
"Message_Text": "formatedValue",
"customTypeFields": {
"{fieldName}": "{formatedValue}",
"AppID": "WIN",
"UserIDSrc": "NGCP",
"Message_Text": "formatedValue"
}
}
Recomendamos que use marcadores de posição com a chave customTypeFields, uma vez que os valores dos marcadores de posição representam corretamente o campo personalizado. Os campos personalizados que
são representados no nível acima podem conter informações enganadoras. Se existisse uma chave com o mesmo nome antes de o campo personalizado ser adicionado, os dados da chave original são usados, uma vez que não pode ter chaves duplicadas no ficheiro JSON.
Configure o conetor no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor predefinido | Obrigatória | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | data_type | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | sigId | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | srcZone | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | :* | Não | Um padrão de regex a executar no valor encontrado no campo Nome do campo do ambiente. A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| PythonProcessTimeout | String | 300 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{ipaddress}/rs/ | Sim | A raiz da API da instância do McAfee ESM. Formato: https://{ip address}/rs/ |
| Nome de utilizador | String | N/A | Não | Nome de utilizador da conta do McAfee ESM. |
| Palavra-passe | Secreto | N/A | Não | Palavra-passe da conta do McAfee ESM. |
| Versão do produto | String | N/A | Sim | Versão do McAfee ESM. Valores possíveis: 11.1, 11.2, 11.3, 11.4, 11.5. |
| Gravidade média mais baixa a obter | Número inteiro | 0 | Não | A gravidade média mais baixa que tem de ser usada para obter correlações. Os valores possíveis estão no intervalo de 0 a 100. Se não for especificado nada, o conetor carrega correlações com todos os tipos de gravidade. |
| Carregue 0 correlações de eventos de origem | Caixa de verificação | Desmarcado | Não | Se estiver ativado, o conetor carrega correlações que têm 0 eventos de origem. Este parâmetro pode afetar os valores provenientes dos parâmetros Nome do campo do produto, Nome do campo do evento e Nome do campo do gerador de regras. Se estiver desativado, o conetor aguarda o tempo especificado no parâmetro Tempo de preenchimento. Para mais informações sobre este parâmetro, consulte o artigo Trabalhe com o parâmetro Ingest 0 Source Event Correlations. |
| Tempo de preenchimento | Número inteiro | 1 | Não | O número de horas que o conetor usa para o preenchimento. Este parâmetro descreve o tempo que o conector aguarda para carregar a correlação com 0 eventos de origem, se o parâmetro Carregar correlações de 0 eventos de origem estiver desativado. O valor máximo do parâmetro: 6 horas. |
| Máximo de horas para trás | Número inteiro | 1 | Não | O número de horas a partir das quais os alarmes devem ser obtidos. |
| Máximo de correlações a obter | Número inteiro | 20 | Não | O número de alarmes a processar por iteração de um conetor. O valor predefinido do parâmetro: 20. |
| Filtro de IPSIDs | N/A | Não | Lista separada por vírgulas de IPSIDs usada para obter dados. Se não for fornecido nada, o conector usa o IPSID predefinido. |
|
| Filtro de SIGIDs | CSV | N/A | Não | Lista separada por vírgulas de IDs de assinaturas que são usados durante o carregamento. Se não for fornecido nada, o conector carrega correlações de todas as regras. |
| Use uma lista dinâmica como lista de bloqueio | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a lista dinâmica é usada como uma lista de bloqueios. |
| Formato de hora | String | %m/%d/%Y %H:%M:%S | Não | Formato de hora usado para ler a data/hora fornecida no McAfee ESM. Se não for fornecido nada ou for fornecido um formato de hora inválido, o conector não efetua a transformação. Para mais informações acerca deste parâmetro, consulte o artigo Trabalhe com os parâmetros de fuso horário e formato de hora. |
| Fuso horário | String | N/A | Não | Fuso horário do evento de origem. Este parâmetro é necessário para transformar a data/hora no formato que reflete a hora UTC+0. Este parâmetro é ignorado se forem fornecidos valores inválidos no parâmetro Formato de hora ou se não for fornecido nada. Para mais informações acerca deste parâmetro, consulte o artigo Trabalhe com os parâmetros de fuso horário e formato de hora. |
| Nome do campo do gerador de regras | String | app | Não | Nome do campo usado no gerador de regras. A ação usa |
| Campo do produto do dispositivo secundário | String | N/A | Não | Nome do campo do produto alternativo. |
| Desative o Overflow | Caixa de verificação | Desmarcado | Não | Se estiver ativado, o conetor desativa o mecanismo de overflow. Para mais informações acerca deste parâmetro, consulte o artigo Trabalhe com os parâmetros Disable Overflow e Disable Overflow For SigIDs. |
| Desative o overflow para SigIDs | CSV | N/A | Não | Uma lista de IDs de assinatura separados por vírgulas para os quais o conetor ignora o excesso. Este parâmetro requer que o parâmetro Disable Overflow esteja ativado. Para mais informações acerca deste parâmetro, consulte o artigo Trabalhe com os parâmetros Disable Overflow e Disable Overflow For SigIDs. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, valida se o certificado SSL para a ligação ao servidor McAfee ESM é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Trabalhe com o parâmetro Ingest 0 Source Event Correlations
No McAfee ESM, é possível ter correlações com 0 eventos, o que significa que o alerta do Google SecOps contém apenas um evento do Google SecOps com base nas informações de correlação. Não é recomendável carregar correlações com eventos de origem 0, uma vez que o contexto é perdido.
Se o parâmetro Ingest 0 Source Event Correlations estiver ativado, o conector carrega todas as correlações para o sistema Google SecOps, mesmo que existam 0 eventos relacionados. Se este parâmetro estiver desativado, o conetor aguarda até que apareça, pelo menos, um evento de origem no McAfee ESM. O tempo de espera é definido pelo parâmetro Período de preenchimento.
O parâmetro Período de preenchimento especifica o número de horas anteriores (o valor máximo é 6) em que o conector obtém dados em cada iteração. Por exemplo, se o parâmetro Padding Period estiver definido como 2, o conector obtém sempre dados 2 horas antes e começa a processar dados a partir desse momento. Logicamente, o tempo de preenchimento representa o número de horas que o conetor aguarda que o evento ocorra para o poder carregar.
Trabalhe com os parâmetros de fuso horário e formato de hora
Por vezes, a hora e os fusos horários ao nível do servidor do McAfee ESM podem ser configurados com formatos diferentes. Isto pode criar alguns desafios porque, por exemplo, a API McAfee ESM não devolve informações sobre o fuso horário. Por predefinição, o conector trata a data/hora proveniente da API como UTC. Isto pode afetar a hora nos alertas e eventos do Google SecOps, uma vez que as definições de localização são aplicadas.
Por exemplo, a API não processada devolveu uma data/hora em UTC+8. O conetor carregou o alarme e, em seguida, a localização também foi definida como UTC+8. Nesta situação, a data/hora do alerta do Google SecOps ocorre no futuro.
Para ultrapassar este desafio, use o parâmetro Fuso horário. Este parâmetro
define os requisitos para obter a data/hora no formato UTC. Se o Mcafee ESM devolver uma data/hora no formato UTC+8, tem de definir o parâmetro do conetor Fuso horário como -8.
Nos eventos do Google SecOps, são adicionadas 2 novas chaves: as chaves utc_firstTime e tc_lastTime para o evento com base nos dados de eventos de correlação/origem.
Trabalhe com os parâmetros Disable Overflow e Disable Overflow For SigIDs
Por vezes, o McAfee ESM pode ser muito ruidoso e criar muitos eventos de correlação. No Google SecOps, existe um mecanismo de overflow para evitar a criação de demasiados alertas do Google SecOps num curto período de tempo.
Este mecanismo pode ser prejudicial se considerar que todos os alertas são importantes e precisam de ser avaliados. Não recomendamos que desative o mecanismo de overflow. No entanto, se necessário, pode usar os parâmetros Disable Overflow e Disable Overflow For SigIDs para este fim.
A solução preferencial é usar o parâmetro Disable Overflow For SigIDs, uma vez que lhe permite fornecer IDs de assinatura específicos que devem ignorar as regras de overflow, em vez de desativar o overflow para todas as correlações.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.