McAfee MVISION EDR
Version de l'intégration : 8.0
Configurer l'intégration de McAfee MVISION EDR dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://<address>:<port> | Oui | Racine de l'API Trellix EDR. Remarque : Fournissez les paramètres "ID client" et "Code secret du client" ou "Nom d'utilisateur" et "Mot de passe". Si les deux paramètres sont fournis, l'intégration utilise les paramètres "ID client" et "Code secret du client" pour l'authentification. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Trellix EDR. Remarque : Fournissez les paramètres "ID client" et "Code secret du client" ou "Nom d'utilisateur" et "Mot de passe". Si les deux paramètres sont fournis, l'intégration utilise les paramètres "ID client" et "Code secret du client" pour l'authentification. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Trellix EDR. Remarque : Fournissez les paramètres "ID client" et "Code secret du client" ou "Nom d'utilisateur" et "Mot de passe". Si les deux paramètres sont fournis, l'intégration utilise les paramètres "ID client" et "Code secret du client" pour l'authentification. |
| ID client | Chaîne | N/A | Non | ID client du compte Trellix EDR. Remarque : Fournissez les paramètres "ID client" et "Code secret du client" ou "Nom d'utilisateur" et "Mot de passe". Si les deux paramètres sont fournis, l'intégration utilise les paramètres "ID client" et "Code secret du client" pour l'authentification. |
| Code secret du client | Mot de passe | N/A | Non | Code secret du client du compte Trellix EDR. Remarque : Fournissez les paramètres "ID client" et "Code secret du client" ou "Nom d'utilisateur" et "Mot de passe". Si les deux paramètres sont fournis, l'intégration utilise les paramètres "ID client" et "Code secret du client" pour l'authentification. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur cloud public Trellix EDR est valide. |
Générer un ID client et un code secret client
Pour savoir comment générer un ID client et un code secret client, consultez le document Intégrations McAfee MVISION EDR.
Cas d'utilisation
- Ingérez les menaces et les détections Trellix EDR pour les utiliser afin de créer des alertes Google SecOps. Ensuite, dans Google SecOps, les alertes peuvent être utilisées pour effectuer des orchestrations avec des playbooks ou des analyses manuelles.
- Effectuez des actions d'enrichissement : obtenez des données de Trellix EDR pour enrichir les données dans les alertes Google SecOps.
- Effectuer des actions actives : mettre en quarantaine un hôte à l'aide de l'agent Trellix EDR depuis Google SecOps.
Actions
Ping
Description
Testez la connectivité à Trellix EDR avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Cas d'utilisation
Cette action permet de tester la connectivité sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace". Elle peut être exécutée manuellement, mais n'est pas utilisée dans les playbooks.
Exécuter sur
Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Point de terminaison Enrich
Description
Récupérez les informations système du point de terminaison par son nom d'hôte ou son adresse IP.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"total": 9,
"skipped": 0,
"items": 1,
"hosts": [
{
"maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
"hostname": "AWS-LT-EDR1",
"os": {
"major": 10,
"minor": 0,
"build": 18362,
"sp": "",
"desc": "Windows 10"
},
"lastBootTime": "2020-02-24T21:41:38Z",
"netInterfaces": [
{
"name": "Ethernet 2",
"macAddress": "02:33:86:c2:6b:d4",
"ip": "10.0.3.212",
"type": 6
}
],
"traceExtendedVisibility": 0
}
]
}
Enrichissement d'entités
| Nom du champ d'enrichissement | Source (clé JSON) | Logique : quand les utiliser ? |
|---|---|---|
| MMV_EDR_maGuid | hosts/maGuid | Lorsqu'il est disponible au format JSON |
| MMV_EDR_hostname | hosts/hostname | Lorsqu'il est disponible au format JSON |
| MMV_EDR_OS | hosts/os/desc | Lorsqu'il est disponible au format JSON |
| MMV_EDR_lastBootTime | hosts/lastBootTime | Lorsqu'il est disponible au format JSON |
| MMV_EDR_certainty | hosts/certainty | Lorsqu'il est disponible au format JSON |
| MMV_EDR_ips | Résultats séparés par des espaces/net_interfaces/ip | Lorsqu'il est disponible au format JSON |
Insights
N/A
Point de terminaison de mise en quarantaine
Description
Créez une tâche de point de terminaison de mise en quarantaine sur le serveur Trellix EDR en fonction des entités d'adresse IP ou de nom d'hôte Google SecOps.
Problème connu de Trellix
Référence : Problèmes connus de Trellix EDR
Lorsque vous mettez en quarantaine un point de terminaison connecté à un VPN, il devient inaccessible. Vous ne pouvez pas envoyer de réaction à la vidéo "End the Quarantine".
Solution :
- Accédez physiquement au point de terminaison.
- Désinstallez le client EDR depuis "Ajouter ou supprimer des programmes".
- Réinstallez le client EDR.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Point de terminaison "Unquarantine"
Description
Créez une tâche de suppression de la mise en quarantaine sur le serveur McAfee MVISION EDR en fonction des entités "Adresse IP" ou "Nom d'hôte" Google SecOps.
Problème connu de Trellix
Référence : Problèmes connus de Trellix EDR
Lorsque vous mettez en quarantaine un point de terminaison connecté à un VPN, il devient inaccessible. Vous ne pouvez pas envoyer de réaction à la vidéo "End the Quarantine".
Solution :
- Accédez physiquement au point de terminaison.
- Désinstallez le client EDR depuis "Ajouter ou supprimer des programmes".
- Réinstallez le client EDR.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Supprimer le fichier
Description
Supprimez un fichier du point de terminaison.
Problème connu lié à l'exécution des actions
Il est possible que McAfee ne supprime pas les fichiers et indique quand même dans l'interface utilisateur Web que l'action a été exécutée avec succès. Le problème suivant peut être lié aux autorisations de l'agent. Vérifiez que l'agent dispose des autorisations requises, puis réessayez.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Chemin d'accès complet au fichier | Chaîne | N/A | Oui | Spécifiez le chemin d'accès complet au fichier que vous souhaitez supprimer. |
| Suppression sécurisée | Case à cocher | Décochée | Oui | Si cette option est activée, les fichiers potentiellement critiques ou fiables sont ignorés. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Arrêter et supprimer du contenu
Description
Arrêtez le processus de l'interpréteur par PID, par exemple Python ou Bash, et supprimez le script associé par chemin d'accès complet sur McAfee MVISION EDR.
Problème connu lié à l'exécution des actions
Il est possible que McAfee ne supprime pas ou n'arrête pas les fichiers associés, et indique quand même dans l'interface utilisateur Web que l'action a été exécutée avec succès. Le problème suivant peut être lié aux autorisations de l'agent. Vérifiez que l'agent dispose des autorisations requises, puis réessayez.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID d'achat | Integer | N/A | Oui | Spécifiez le PID de l'interpréteur. |
| Chemin d'accès complet au fichier | Chaîne | N/A | Oui | Spécifiez le chemin d'accès complet au fichier que vous souhaitez supprimer. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Arrêter le processus
Description
Arrêtez un processus en cours d'exécution et supprimez son fichier. Si le processus n'est pas en cours d'exécution, son fichier est simplement supprimé du point de terminaison géré.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type d'identifiant de processus | LDD | ID d'achat Valeurs possibles :
|
Oui | Spécifiez le type d'identifiant de processus à utiliser. |
| Identifiant de processus | Chaîne | N/A | Oui | Spécifiez la valeur de l'identifiant de processus. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Ignorer la menace
Description
Fermez la menace dans Trellix EDR.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de la menace | Chaîne | N/A | Oui | Spécifiez l'ID de la menace que vous souhaitez ignorer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Connecteurs
Connecteur McAfee MVISION EDR – Menaces
Description
Les menaces Trellix EDR peuvent être mises à jour avec de nouvelles détections au fil du temps. Pour le moment, afin de traiter les nouvelles détections, vous devez ignorer la menace. Trellix EDR créera ainsi une menace qui sera ingérée dans Google SecOps avec ces nouvelles détections. Dans d'autres cas, les nouvelles détections ajoutées après l'ingestion de la menace ne seront pas disponibles dans Google SecOps.
Configurer le connecteur McAfee MVISION EDR - Threats dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | eventType | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
Nom du champ d'environnement |
Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
Modèle d'expression régulière de l'environnement |
Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://x.x.x.x | Oui | Racine de l'API du serveur Trellix EDR. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Trellix EDR. Remarque : Fournissez les paramètres "ID client" et "Code secret du client" ou "Nom d'utilisateur" et "Mot de passe". Si les deux paramètres sont fournis, l'intégration utilise les paramètres "ID client" et "Code secret du client" pour l'authentification. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte Trellix EDR. Remarque : Fournissez les paramètres "ID client" et "Code secret du client" ou "Nom d'utilisateur" et "Mot de passe". Si les deux paramètres sont fournis, l'intégration utilise les paramètres "ID client" et "Code secret du client" pour l'authentification. |
| ID client | Chaîne | N/A | Non | ID client du compte Trellix EDR. Remarque : Fournissez les paramètres "ID client" et "Code secret du client" ou "Nom d'utilisateur" et "Mot de passe". Si les deux paramètres sont fournis, l'intégration utilise les paramètres "ID client" et "Code secret du client" pour l'authentification. |
| Code secret du client | Mot de passe | N/A | Non | Code secret du client du compte Trellix EDR. Remarque : Fournissez les paramètres "ID client" et "Code secret du client" ou "Nom d'utilisateur" et "Mot de passe". Si les deux paramètres sont fournis, l'intégration utilise les paramètres "ID client" et "Code secret du client" pour l'authentification. |
| Gravité la plus faible à récupérer | Chaîne | Moyenne | Oui | Gravité la plus faible qui sera utilisée pour récupérer les menaces. Valeurs possibles : Moyenne Élevée Critique |
| Récupérer les heures Max en arrière | Integer | 1 | Non | Nombre d'heures à partir desquelles extraire les menaces. |
| Nombre maximal de menaces à récupérer | Integer | 25 | Non | Nombre de menaces à traiter par itération de connecteur. |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste blanche sera utilisée comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur cloud public Trellix EDR est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.