McAfee MVISION EDR
Versión de integración: 8.0
Configura la integración de McAfee MVISION EDR en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://<dirección>:<puerto> | Sí | Es la raíz de la API de Trellix EDR. Nota: Proporciona los parámetros de ID de cliente y secreto del cliente, o bien los de nombre de usuario y contraseña. Si se proporcionan ambos parámetros, la integración usa los parámetros Client ID y Client Secret para la autenticación. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Trellix EDR. Nota: Proporciona los parámetros de ID de cliente y secreto del cliente, o bien los de nombre de usuario y contraseña. Si se proporcionan ambos parámetros, la integración usa los parámetros Client ID y Client Secret para la autenticación. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Trellix EDR. Nota: Proporciona los parámetros de ID de cliente y secreto del cliente, o bien los de nombre de usuario y contraseña. Si se proporcionan ambos parámetros, la integración usa los parámetros Client ID y Client Secret para la autenticación. |
| ID de cliente | String | N/A | No | Es el ID de cliente de la cuenta de Trellix EDR. Nota: Proporciona los parámetros de ID de cliente y secreto del cliente, o bien los de nombre de usuario y contraseña. Si se proporcionan ambos parámetros, la integración usa los parámetros Client ID y Client Secret para la autenticación. |
| Secreto del cliente | Contraseña | N/A | No | Es el secreto del cliente de la cuenta de Trellix EDR. Nota: Proporciona los parámetros de ID de cliente y secreto del cliente, o bien los de nombre de usuario y contraseña. Si se proporcionan ambos parámetros, la integración usa los parámetros Client ID y Client Secret para la autenticación. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de la nube pública de Trellix EDR sea válido. |
Cómo generar el ID de cliente y el secreto del cliente
Para obtener más información sobre cómo generar el ID de cliente y el secreto del cliente, consulta el documento Integraciones de McAfee MVISION EDR.
Casos de uso
- Ingiere las amenazas y detecciones de Trellix EDR para usarlas y crear alertas de Google SecOps. A continuación, en Google SecOps, las alertas se pueden usar para realizar orquestaciones con guías o análisis manuales.
- Realizar acciones de enriquecimiento: Obtener datos de Trellix EDR para enriquecer los datos en las Alertas de SecOps de Google
- Realizar acciones activas: Poner en cuarentena un host con el agente de Trellix EDR de Google SecOps
Acciones
Ping
Descripción
Prueba la conectividad con Trellix EDR con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Casos de uso
La acción se usa para probar la conectividad en la página de configuración de la integración en la pestaña Google Security Operations Marketplace y se puede ejecutar como una acción manual, no se usa en los cuadernos de estrategias.
Ejecutar en
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Extremo de enriquecimiento
Descripción
Recupera la información del sistema del extremo por su nombre de host o dirección IP.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"total": 9,
"skipped": 0,
"items": 1,
"hosts": [
{
"maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
"hostname": "AWS-LT-EDR1",
"os": {
"major": 10,
"minor": 0,
"build": 18362,
"sp": "",
"desc": "Windows 10"
},
"lastBootTime": "2020-02-24T21:41:38Z",
"netInterfaces": [
{
"name": "Ethernet 2",
"macAddress": "02:33:86:c2:6b:d4",
"ip": "10.0.3.212",
"type": 6
}
],
"traceExtendedVisibility": 0
}
]
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: Cuándo aplicar |
|---|---|---|
| MMV_EDR_maGuid | hosts/maGuid | Cuando está disponible en JSON |
| MMV_EDR_hostname | hosts/hostname | Cuando está disponible en JSON |
| MMV_EDR_OS | hosts/os/desc | Cuando está disponible en JSON |
| MMV_EDR_lastBootTime | hosts/lastBootTime | Cuando está disponible en JSON |
| MMV_EDR_certainty | hosts/certainty | Cuando está disponible en JSON |
| MMV_EDR_ips | Resultados separados por espacios/net_interfaces/ip | Cuando está disponible en JSON |
Estadísticas
N/A
Extremo de cuarentena
Descripción
Crea una tarea de extremo en cuarentena en el servidor de Trellix EDR basada en las entidades de dirección IP o nombre de host de Google SecOps.
Problema conocido de Trellix
Referencia: Problemas conocidos de Trellix EDR
Cuando pones en cuarentena un extremo conectado a una VPN, el extremo deja de estar disponible. No puedes enviar la reacción para finalizar la cuarentena.
Solución alternativa:
- Obtener acceso físico al extremo
- Desinstala el cliente de EDR desde Agregar o quitar programas.
- Vuelve a instalar el cliente de EDR.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Extremo de Unquarantine
Descripción
Crea una tarea de eliminación de cuarentena de extremos en el servidor de McAfee MVISION EDR según las entidades de dirección IP o nombre de host de Google SecOps.
Problema conocido de Trellix
Referencia: Problemas conocidos de Trellix EDR
Cuando pones en cuarentena un extremo conectado a una VPN, el extremo deja de estar disponible. No puedes enviar la reacción para finalizar la cuarentena.
Solución alternativa:
- Obtener acceso físico al extremo
- Desinstala el cliente de EDR desde Agregar o quitar programas.
- Vuelve a instalar el cliente de EDR.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Quitar archivo
Descripción
Quita un archivo del extremo.
Problema conocido de ejecución de la acción
Es posible que McAfee no quite los archivos y que, aun así, muestre en la IU web que la acción se ejecutó correctamente. El siguiente problema puede estar relacionado con los permisos del agente. Verifica que el agente tenga los permisos necesarios y vuelve a intentarlo.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Ruta de acceso completa al archivo | String | N/A | Sí | Especifica la ruta de acceso completa al archivo que deseas quitar. |
| Extracción segura | Casilla de verificación | Desmarcado | Sí | Si está habilitada, ignora los archivos que pueden ser críticos o de confianza. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Detén y quita el contenido
Descripción
Detiene el proceso del intérprete por PID, por ejemplo, Python o Bash, y quita la secuencia de comandos asociada por ruta de acceso completa en McAfee MVISION EDR.
Problema conocido de ejecución de la acción
Es posible que McAfee no quite ni cierre los archivos asociados, y que siga mostrando en la IU web que la acción se ejecutó correctamente. El siguiente problema puede estar relacionado con los permisos del agente. Verifica que el agente tenga los permisos necesarios y vuelve a intentarlo.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| PID | Número entero | N/A | Sí | Especifica el PID del intérprete. |
| Ruta de acceso completa al archivo | String | N/A | Sí | Especifica la ruta de acceso completa al archivo que deseas quitar. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Kill Process
Descripción
Detiene un proceso en ejecución y quita su archivo. Si el proceso no se está ejecutando, solo se quitará su archivo del extremo administrado.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de identificador de proceso | DDL | PID Valores posibles:
|
Sí | Especifica qué tipo de identificador de proceso se debe usar. |
| Identificador de proceso | String | N/A | Sí | Especifica el valor del identificador del proceso. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Descartar amenaza
Descripción
Descarta la amenaza en Trellix EDR.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de la amenaza | String | N/A | Sí | Especifica el ID de la amenaza que deseas descartar. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Conectores
McAfee MVISION EDR - Threats Connector
Descripción
Las amenazas de Trellix EDR se pueden actualizar con nuevas detecciones con el tiempo. Por el momento, para procesar las nuevas detecciones, deberás descartar la amenaza. De esta manera, Trellix EDR creará una nueva amenaza y se incorporará a Google SecOps con esas nuevas detecciones. En otros casos, las nuevas detecciones que se agregaron después de la incorporación de la amenaza no estarán disponibles en Google SecOps.
Configura el conector de amenazas de McAfee MVISION EDR en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | eventType | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
Nombre del campo del entorno |
String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
Patrón de regex del entorno |
String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://x.x.x.x | Sí | Es la raíz de la API del servidor de Trellix EDR. |
| Nombre de usuario | String | N/A | Sí | Es el nombre de usuario de la cuenta de Trellix EDR. Nota: Proporciona los parámetros de ID de cliente y secreto del cliente, o bien los de nombre de usuario y contraseña. Si se proporcionan ambos parámetros, la integración usa los parámetros Client ID y Client Secret para la autenticación. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de Trellix EDR. Nota: Proporciona los parámetros de ID de cliente y secreto del cliente, o bien los de nombre de usuario y contraseña. Si se proporcionan ambos parámetros, la integración usa los parámetros Client ID y Client Secret para la autenticación. |
| ID de cliente | String | N/A | No | Es el ID de cliente de la cuenta de Trellix EDR. Nota: Proporciona los parámetros de ID de cliente y secreto del cliente, o bien los de nombre de usuario y contraseña. Si se proporcionan ambos parámetros, la integración usa los parámetros Client ID y Client Secret para la autenticación. |
| Secreto del cliente | Contraseña | N/A | No | Es el secreto del cliente de la cuenta de Trellix EDR. Nota: Proporciona los parámetros de ID de cliente y secreto del cliente, o bien los de nombre de usuario y contraseña. Si se proporcionan ambos parámetros, la integración usa los parámetros Client ID y Client Secret para la autenticación. |
| Gravedad más baja que se recuperará | String | Medio | Sí | Es la gravedad más baja que se usará para recuperar amenazas. Valores posibles: Medio Alta Crítico |
| Recuperar horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperarán las amenazas. |
| Max Threats To Fetch | Número entero | 25 | No | Cantidad de amenazas que se procesarán por iteración del conector. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de la nube pública de Trellix EDR sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.