McAfee MVISION EDR
Integrationsversion: 8.0
McAfee MVISION EDR-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://<address>:<port> | Ja | Trellix EDR API-Stamm. Hinweis:Geben Sie entweder die Parameter „Client-ID“ und „Clientschlüssel“ oder „Nutzername“ und „Passwort“ an. Wenn beide Parameter angegeben sind, werden für die Authentifizierung die Parameter „Client-ID“ und „Clientschlüssel“ verwendet. |
| Nutzername | String | – | Ja | Nutzername des Trellix EDR-Kontos. Hinweis:Geben Sie entweder die Parameter „Client-ID“ und „Clientschlüssel“ oder „Nutzername“ und „Passwort“ an. Wenn beide Parameter angegeben sind, werden für die Authentifizierung die Parameter „Client-ID“ und „Clientschlüssel“ verwendet. |
| Passwort | Passwort | – | Ja | Das Passwort des Trellix EDR-Kontos. Hinweis:Geben Sie entweder die Parameter „Client-ID“ und „Clientschlüssel“ oder „Nutzername“ und „Passwort“ an. Wenn beide Parameter angegeben sind, werden für die Authentifizierung die Parameter „Client-ID“ und „Clientschlüssel“ verwendet. |
| Client-ID | String | – | Nein | Client-ID des Trellix EDR-Kontos. Hinweis:Geben Sie entweder die Parameter „Client-ID“ und „Clientschlüssel“ oder „Nutzername“ und „Passwort“ an. Wenn beide Parameter angegeben sind, werden für die Authentifizierung die Parameter „Client-ID“ und „Clientschlüssel“ verwendet. |
| Clientschlüssel | Passwort | – | Nein | Clientschlüssel des Trellix EDR-Kontos. Hinweis:Geben Sie entweder die Parameter „Client-ID“ und „Clientschlüssel“ oder „Nutzername“ und „Passwort“ an. Wenn beide Parameter angegeben sind, werden für die Authentifizierung die Parameter „Client-ID“ und „Clientschlüssel“ verwendet. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum öffentlichen Cloud-Server von Trellix EDR gültig ist. |
Client-ID und Clientschlüssel generieren
Weitere Informationen zum Generieren von Client-ID und Clientschlüssel finden Sie im Dokument McAfee MVISION EDR Integrations.
Anwendungsbereiche
- Trellix EDR-Bedrohungen und ‑Erkennungen aufnehmen, um damit Google SecOps-Benachrichtigungen zu erstellen. Als Nächstes können in Google SecOps Benachrichtigungen verwendet werden, um Orchestrierungen mit Playbooks oder manuelle Analysen durchzuführen.
- Anreicherungsaktionen ausführen – Daten aus Trellix EDR abrufen, um Daten in Google SecOps-Benachrichtigungen anzureichern.
- Aktive Maßnahmen ergreifen – einen Host mit dem Trellix EDR-Agenten von Google SecOps unter Quarantäne stellen.
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Trellix EDR mit den Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Anwendungsbereiche
Die Aktion wird verwendet, um die Konnektivität auf der Seite „Integrationskonfiguration“ auf dem Tab „Google Security Operations Marketplace“ zu testen. Sie kann als manuelle Aktion ausgeführt werden und wird nicht in Playbooks verwendet.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Endpunkt für die Anreicherung
Beschreibung
Systeminformationen des Abrufendpunkts anhand des Hostnamens oder der IP-Adresse abrufen.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"total": 9,
"skipped": 0,
"items": 1,
"hosts": [
{
"maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
"hostname": "AWS-LT-EDR1",
"os": {
"major": 10,
"minor": 0,
"build": 18362,
"sp": "",
"desc": "Windows 10"
},
"lastBootTime": "2020-02-24T21:41:38Z",
"netInterfaces": [
{
"name": "Ethernet 2",
"macAddress": "02:33:86:c2:6b:d4",
"ip": "10.0.3.212",
"type": 6
}
],
"traceExtendedVisibility": 0
}
]
}
Entitätsanreicherung
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| MMV_EDR_maGuid | hosts/maGuid | Wenn in JSON verfügbar |
| MMV_EDR_hostname | hosts/hostname | Wenn in JSON verfügbar |
| MMV_EDR_OS | hosts/os/desc | Wenn in JSON verfügbar |
| MMV_EDR_lastBootTime | hosts/lastBootTime | Wenn in JSON verfügbar |
| MMV_EDR_certainty | hosts/certainty | Wenn in JSON verfügbar |
| MMV_EDR_ips | Durch Leerzeichen getrennte Ergebnisse/net_interfaces/ip | Wenn in JSON verfügbar |
Statistiken
–
Quarantäneendpunkt
Beschreibung
Erstellen Sie auf dem Trellix EDR-Server eine Quarantäne-Endpunktaufgabe basierend auf den Google SecOps-IP-Adressen oder Hostnamen.
Bekanntes Problem von Trellix
Referenz: Bekannte Probleme mit Trellix EDR
Wenn Sie einen Endpunkt, der mit einem VPN verbunden ist, unter Quarantäne stellen, ist der Endpunkt nicht mehr erreichbar. Sie können keine Reaktion auf „Quarantäne beenden“ senden.
Workaround:
- Physischen Zugriff auf den Endpunkt erhalten.
- Deinstallieren Sie den EDR-Client über „Software“.
- Installieren Sie den EDR-Client noch einmal.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Endpunkt zum Aufheben der Quarantäne
Beschreibung
Erstellen Sie auf dem McAfee MVISION EDR-Server eine Aufgabe für den Endpunkt „Quarantäne aufheben“, die auf den Google SecOps-IP-Adressen oder Hostnamen basiert.
Bekanntes Problem von Trellix
Referenz: Bekannte Probleme mit Trellix EDR
Wenn Sie einen Endpunkt, der mit einem VPN verbunden ist, unter Quarantäne stellen, ist der Endpunkt nicht mehr erreichbar. Sie können keine Reaktion auf „Quarantäne beenden“ senden.
Workaround:
- Physischen Zugriff auf den Endpunkt erhalten.
- Deinstallieren Sie den EDR-Client über „Software“.
- Installieren Sie den EDR-Client noch einmal.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Datei entfernen
Beschreibung
Entfernen Sie eine Datei vom Endpunkt.
Bekanntes Problem bei der Ausführung von Aktionen
McAfee entfernt möglicherweise keine Dateien und zeigt in der Web-Benutzeroberfläche trotzdem an, dass die Aktion erfolgreich ausgeführt wurde. Das folgende Problem kann mit Berechtigungen für Agents zusammenhängen. Prüfen Sie, ob der Kundenservicemitarbeiter die erforderlichen Berechtigungen hat, und versuchen Sie es noch einmal.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Vollständiger Dateipfad | String | – | Ja | Geben Sie den vollständigen Pfad zu der Datei an, die Sie entfernen möchten. |
| Sicheres Entfernen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, werden Dateien ignoriert, die möglicherweise kritisch oder vertrauenswürdig sind. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Inhalte entfernen
Beschreibung
Stoppen Sie den Interpreterprozess anhand der PID, z. B. Python oder Bash, und entfernen Sie das zugehörige Skript über den vollständigen Pfad in McAfee MVISION EDR.
Bekanntes Problem bei der Ausführung von Aktionen
McAfee entfernt oder beendet zugehörige Dateien möglicherweise nicht und zeigt in der Web-Benutzeroberfläche trotzdem an, dass die Aktion erfolgreich ausgeführt wurde. Das folgende Problem kann mit Berechtigungen für den Agenten zusammenhängen. Prüfen Sie, ob der Kundenservicemitarbeiter die erforderlichen Berechtigungen hat, und versuchen Sie es noch einmal.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| PID | Ganzzahl | – | Ja | Geben Sie die PID des Interpreters an. |
| Vollständiger Dateipfad | String | – | Ja | Geben Sie den vollständigen Pfad zu der Datei an, die Sie entfernen möchten. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Prozess beenden
Beschreibung
Einen laufenden Prozess beenden und die zugehörige Datei entfernen. Wenn der Prozess nicht ausgeführt wird, wird seine Datei nur vom verwalteten Endpunkt entfernt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Prozess-ID-Typ | DDL | PID Mögliche Werte:
|
Ja | Geben Sie an, welcher Prozess-ID-Typ verwendet werden soll. |
| Prozesskennung | String | – | Ja | Geben Sie den Wert für die Prozess-ID an. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Bedrohung schließen
Beschreibung
Bedrohung in Trellix EDR schließen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Bedrohungs-ID | String | – | Ja | Geben Sie die ID der Bedrohung an, die Sie schließen möchten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Connectors
McAfee MVISION EDR – Threats Connector
Beschreibung
Trellix EDR-Bedrohungen können im Laufe der Zeit mit neuen Erkennungen aktualisiert werden. Derzeit müssen Sie die Bedrohung schließen, um neue Erkennungen zu verarbeiten. Auf diese Weise erstellt Trellix EDR eine neue Bedrohung, die mit den neuen Erkennungen in Google SecOps aufgenommen wird. In anderen Fällen sind neue Erkennungen, die nach der Aufnahme der Bedrohung hinzugefügt wurden, nicht in Google SecOps verfügbar.
McAfee MVISION EDR – Threats Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | eventType | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
Feldname der Umgebung |
String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
Regex-Muster für Umgebung |
String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://x.x.x.x | Ja | API-Stammverzeichnis des Trellix EDR-Servers. |
| Nutzername | String | – | Ja | Nutzername für das Trellix EDR-Konto. Hinweis:Geben Sie entweder die Parameter „Client-ID“ und „Clientschlüssel“ oder „Nutzername“ und „Passwort“ an. Wenn beide Parameter angegeben sind, werden für die Authentifizierung die Parameter „Client-ID“ und „Clientschlüssel“ verwendet. |
| Passwort | Passwort | – | Ja | Passwort für das Trellix EDR-Konto. Hinweis:Geben Sie entweder die Parameter „Client-ID“ und „Clientschlüssel“ oder „Nutzername“ und „Passwort“ an. Wenn beide Parameter angegeben sind, werden für die Authentifizierung die Parameter „Client-ID“ und „Clientschlüssel“ verwendet. |
| Client-ID | String | – | Nein | Client-ID des Trellix EDR-Kontos. Hinweis:Geben Sie entweder die Parameter „Client-ID“ und „Clientschlüssel“ oder „Nutzername“ und „Passwort“ an. Wenn beide Parameter angegeben sind, werden für die Authentifizierung die Parameter „Client-ID“ und „Clientschlüssel“ verwendet. |
| Clientschlüssel | Passwort | – | Nein | Clientschlüssel des Trellix EDR-Kontos. Hinweis:Geben Sie entweder die Parameter „Client-ID“ und „Clientschlüssel“ oder „Nutzername“ und „Passwort“ an. Wenn beide Parameter angegeben sind, werden für die Authentifizierung die Parameter „Client-ID“ und „Clientschlüssel“ verwendet. |
| Niedrigster abzurufender Schweregrad | String | Mittel | Ja | Der niedrigste Schweregrad, der zum Abrufen von Bedrohungen verwendet wird. Mögliche Werte: Mittel Hoch Kritisch |
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Bedrohungen abgerufen werden sollen. |
| Maximale Anzahl abzurufender Bedrohungen | Ganzzahl | 25 | Nein | Die Anzahl der Bedrohungen, die pro Connector-Iteration verarbeitet werden sollen. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird das SSL-Zertifikat für die Verbindung zum öffentlichen Cloud-Server von Trellix EDR geprüft. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten