McAfee MVISION EDR
Versión de la integración: 8.0
Configurar la integración de McAfee MVISION EDR en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://<address>:<port> | Sí | Raíz de la API de Trellix EDR. Nota: Proporcione los parámetros Client ID y Client Secret o Username y Password. Si se proporcionan ambos parámetros, la integración usará los parámetros Client ID y Client Secret para la autenticación. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Trellix EDR. Nota: Proporcione los parámetros Client ID y Client Secret o Username y Password. Si se proporcionan ambos parámetros, la integración usará los parámetros Client ID y Client Secret para la autenticación. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Trellix EDR. Nota: Proporcione los parámetros Client ID y Client Secret o Username y Password. Si se proporcionan ambos parámetros, la integración usará los parámetros Client ID y Client Secret para la autenticación. |
| ID de cliente | Cadena | N/A | No | ID de cliente de la cuenta de Trellix EDR. Nota: Proporcione los parámetros Client ID y Client Secret o Username y Password. Si se proporcionan ambos parámetros, la integración usará los parámetros Client ID y Client Secret para la autenticación. |
| Secreto de cliente | Contraseña | N/A | No | Secreto de cliente de la cuenta de Trellix EDR. Nota: Proporcione los parámetros Client ID y Client Secret o Username y Password. Si se proporcionan ambos parámetros, la integración usará los parámetros Client ID y Client Secret para la autenticación. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, verifica que el certificado SSL de la conexión al servidor de nube pública de Trellix EDR sea válido. |
Cómo generar un ID de cliente y un secreto de cliente
Para obtener más información sobre cómo generar un ID de cliente y un secreto de cliente, consulta el documento Integraciones de McAfee MVISION EDR.
Casos prácticos
- Ingiere amenazas y detecciones de Trellix EDR para usarlas en la creación de alertas de Google SecOps. A continuación, en Google SecOps, las alertas se pueden usar para realizar orquestaciones con guías o análisis manuales.
- Realizar acciones de enriquecimiento: obtener datos de Trellix EDR para enriquecer los datos de las alertas de Google SecOps.
- Realiza acciones activas: pone en cuarentena un host mediante el agente de Trellix EDR de Google SecOps.
Acciones
Ping
Descripción
Prueba la conectividad con Trellix EDR con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Casos prácticos
Esta acción se usa para probar la conectividad en la página de configuración de la integración de la pestaña Google Security Operations Marketplace y se puede ejecutar como una acción manual, pero no se usa en guías.
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Endpoint de enriquecimiento
Descripción
Obtiene la información del sistema del endpoint de obtención por su nombre de host o dirección IP.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 9,
"skipped": 0,
"items": 1,
"hosts": [
{
"maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
"hostname": "AWS-LT-EDR1",
"os": {
"major": 10,
"minor": 0,
"build": 18362,
"sp": "",
"desc": "Windows 10"
},
"lastBootTime": "2020-02-24T21:41:38Z",
"netInterfaces": [
{
"name": "Ethernet 2",
"macAddress": "02:33:86:c2:6b:d4",
"ip": "10.0.3.212",
"type": 6
}
],
"traceExtendedVisibility": 0
}
]
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: cuándo aplicar |
|---|---|---|
| MMV_EDR_maGuid | hosts/maGuid | Cuando esté disponible en JSON |
| MMV_EDR_hostname | hosts/nombre_de_host | Cuando esté disponible en JSON |
| MMV_EDR_OS | hosts/os/desc | Cuando esté disponible en JSON |
| MMV_EDR_lastBootTime | hosts/lastBootTime | Cuando esté disponible en JSON |
| MMV_EDR_certainty | hosts/certainty | Cuando esté disponible en JSON |
| MMV_EDR_ips | Resultados separados por espacios/net_interfaces/ip | Cuando esté disponible en JSON |
Estadísticas
N/A
Endpoint de cuarentena
Descripción
Crea una tarea de endpoint en cuarentena en el servidor de Trellix EDR en función de las entidades de dirección IP o nombre de host de Google SecOps.
Problema conocido de Trellix
Referencia: Problemas conocidos de Trellix EDR
Cuando pones en cuarentena un endpoint conectado a una VPN, el endpoint deja de estar accesible. No puedes enviar la reacción para finalizar la cuarentena.
Solución alternativa:
- Obtener acceso físico al endpoint.
- Desinstala el cliente de EDR desde Agregar o quitar programas.
- Vuelve a instalar el cliente de EDR.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Endpoint de desaislamiento
Descripción
Crea una tarea de desbloqueo de cuarentena en el servidor de McAfee MVISION EDR en función de las entidades de dirección IP o nombre de host de Google SecOps.
Problema conocido de Trellix
Referencia: Problemas conocidos de Trellix EDR
Cuando pones en cuarentena un endpoint conectado a una VPN, el endpoint deja de estar accesible. No puedes enviar la reacción para finalizar la cuarentena.
Solución alternativa:
- Obtener acceso físico al endpoint.
- Desinstala el cliente de EDR desde Agregar o quitar programas.
- Vuelve a instalar el cliente de EDR.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Quitar archivo
Descripción
Elimina un archivo del endpoint.
Problema conocido de ejecución de acciones
Es posible que McAfee no elimine los archivos y siga mostrando en la interfaz web que la acción se ha ejecutado correctamente. El siguiente problema puede estar relacionado con los permisos del agente. Verifica que el agente tenga los permisos necesarios y vuelve a intentarlo.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Ruta de archivo completa | Cadena | N/A | Sí | Especifica la ruta completa al archivo que quieras eliminar. |
| Retirada segura | Casilla | Desmarcada | Sí | Si está habilitada, ignora los archivos que pueden ser críticos o de confianza. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Detener y eliminar contenido
Descripción
Detiene el proceso del intérprete por PID, por ejemplo, Python o Bash, y elimina la secuencia de comandos asociada por ruta completa en McAfee MVISION EDR.
Problema conocido de ejecución de acciones
Es posible que McAfee no elimine ni cierre los archivos asociados y que siga mostrando en la interfaz web que la acción se ha ejecutado correctamente. El siguiente problema puede estar relacionado con los permisos del agente. Verifica que el agente tenga los permisos necesarios y vuelve a intentarlo.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| PID | Entero | N/A | Sí | Especifica el PID del intérprete. |
| Ruta de archivo completa | Cadena | N/A | Sí | Especifica la ruta completa al archivo que quieras eliminar. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Finalizar proceso
Descripción
Detener un proceso en ejecución y eliminar su archivo. Si el proceso no se está ejecutando, su archivo se elimina del endpoint gestionado.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de identificador de proceso | DDL | PID Valores posibles:
|
Sí | Especifica qué tipo de identificador de proceso quieres usar. |
| Identificador de proceso | Cadena | N/A | Sí | Especifica el valor del identificador de proceso. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Cerrar amenaza
Descripción
Rechazar la amenaza en Trellix EDR.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de amenaza | Cadena | N/A | Sí | Especifique el ID de la amenaza que quiere descartar. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Conectores
McAfee MVISION EDR - Threats Connector
Descripción
Las amenazas de Trellix EDR se pueden actualizar con nuevas detecciones con el tiempo. Por ahora, para procesar las nuevas detecciones, debes rechazar la amenaza. De esta forma, Trellix EDR creará una nueva amenaza y se insertará en Google SecOps con esas nuevas detecciones. En otros casos, las nuevas detecciones que se hayan añadido después de la ingestión de la amenaza no estarán disponibles en Google SecOps.
Configurar el conector de amenazas de McAfee MVISION EDR en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | eventType | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
Nombre del campo de entorno |
Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
Patrón de expresión regular del entorno |
Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://x.x.x.x | Sí | Raíz de la API del servidor de Trellix EDR. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Trellix EDR. Nota: Proporcione los parámetros Client ID y Client Secret o Username y Password. Si se proporcionan ambos parámetros, la integración usará los parámetros Client ID y Client Secret para la autenticación. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Trellix EDR. Nota: Proporcione los parámetros Client ID y Client Secret o Username y Password. Si se proporcionan ambos parámetros, la integración usará los parámetros Client ID y Client Secret para la autenticación. |
| ID de cliente | Cadena | N/A | No | ID de cliente de la cuenta de Trellix EDR. Nota: Proporcione los parámetros Client ID y Client Secret o Username y Password. Si se proporcionan ambos parámetros, la integración usará los parámetros Client ID y Client Secret para la autenticación. |
| Secreto de cliente | Contraseña | N/A | No | Secreto de cliente de la cuenta de Trellix EDR. Nota: Proporcione los parámetros Client ID y Client Secret o Username y Password. Si se proporcionan ambos parámetros, la integración usará los parámetros Client ID y Client Secret para la autenticación. |
| Gravedad mínima que se va a obtener | Cadena | Medio | Sí | Gravedad más baja que se usará para obtener amenazas. Valores posibles: Medio Alta Crítica |
| Fetch Max Hours Backwards | Entero | 1 | No | Número de horas a partir del cual se obtienen las amenazas. |
| Número máximo de amenazas que se van a obtener | Entero | 25 | No | Número de amenazas que se deben procesar por cada iteración del conector. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si está habilitada, la lista de permitidos se usará como lista de denegados. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de nube pública de Trellix EDR es válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.