McAfee MVISION EDR
Versi integrasi: 8.0
Mengonfigurasi integrasi McAfee MVISION EDR di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://<address>:<port> | Ya | Root Trellix EDR API. Catatan: Berikan parameter Client ID dan Client Secret atau Username dan Password. Jika kedua parameter diberikan, integrasi akan menggunakan parameter Client ID dan Client Secret untuk autentikasi. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun Trellix EDR. Catatan: Berikan parameter Client ID dan Client Secret atau Username dan Password. Jika kedua parameter diberikan, integrasi akan menggunakan parameter ID Klien dan Rahasia Klien untuk autentikasi. |
| Sandi | Sandi | T/A | Ya | Sandi akun Trellix EDR. Catatan: Berikan parameter Client ID dan Client Secret atau Username dan Password. Jika kedua parameter diberikan, integrasi akan menggunakan parameter ID Klien dan Rahasia Klien untuk autentikasi. |
| ID Klien | String | T/A | Tidak | ID klien akun Trellix EDR. Catatan: Berikan parameter Client ID dan Client Secret atau Username dan Password. Jika kedua parameter diberikan, integrasi akan menggunakan parameter Client ID dan Client Secret untuk autentikasi. |
| Rahasia Klien | Sandi | T/A | Tidak | Secret Key akun Trellix EDR. Catatan: Berikan parameter Client ID dan Client Secret atau Username dan Password. Jika kedua parameter diberikan, integrasi akan menggunakan parameter ID Klien dan Rahasia Klien untuk autentikasi. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server cloud publik Trellix EDR valid. |
Cara membuat Client ID dan Client Secret
Untuk mengetahui informasi selengkapnya tentang cara membuat ID Klien dan Rahasia Klien, lihat dokumen Integrasi McAfee MVISION EDR.
Kasus Penggunaan
- Menyerap ancaman dan deteksi Trellix EDR untuk menggunakannya dalam membuat pemberitahuan Google SecOps. Selanjutnya, di Google SecOps, pemberitahuan dapat digunakan untuk melakukan orkestrasi dengan playbook atau analisis manual.
- Lakukan tindakan pengayaan - dapatkan data dari Trellix EDR untuk memperkaya data di Pemberitahuan Google SecOps.
- Lakukan tindakan aktif - mengarantina host menggunakan agen Trellix EDR dari Google SecOps.
Tindakan
Ping
Deskripsi
Uji konektivitas ke Trellix EDR dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Parameter
T/A
Kasus Penggunaan
Tindakan ini digunakan untuk menguji konektivitas di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace, dan dapat dijalankan sebagai tindakan manual, bukan digunakan dalam playbook.
Run On
Tindakan ini tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Endpoint Memperkaya
Deskripsi
Mengambil informasi sistem endpoint berdasarkan nama host atau alamat IP-nya.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"total": 9,
"skipped": 0,
"items": 1,
"hosts": [
{
"maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
"hostname": "AWS-LT-EDR1",
"os": {
"major": 10,
"minor": 0,
"build": 18362,
"sp": "",
"desc": "Windows 10"
},
"lastBootTime": "2020-02-24T21:41:38Z",
"netInterfaces": [
{
"name": "Ethernet 2",
"macAddress": "02:33:86:c2:6b:d4",
"ip": "10.0.3.212",
"type": 6
}
],
"traceExtendedVisibility": 0
}
]
}
Pengayaan Entity
| Nama Kolom Pengayaan | Sumber (Kunci JSON) | Logika - Kapan harus diterapkan |
|---|---|---|
| MMV_EDR_maGuid | hosts/maGuid | Jika tersedia dalam JSON |
| MMV_EDR_hostname | hosts/hostname | Jika tersedia dalam JSON |
| MMV_EDR_OS | hosts/os/desc | Jika tersedia dalam JSON |
| MMV_EDR_lastBootTime | hosts/lastBootTime | Jika tersedia dalam JSON |
| MMV_EDR_certainty | hosts/certainty | Jika tersedia dalam JSON |
| MMV_EDR_ips | Hasil yang dipisahkan dengan spasi/net_interfaces/ip | Jika tersedia dalam JSON |
Insight
T/A
Endpoint Karantina
Deskripsi
Membuat tugas endpoint karantina di server Trellix EDR berdasarkan entitas Nama Host atau Alamat IP Google SecOps.
Masalah Umum dari Trellix
Referensi: Masalah Umum Trellix EDR
Saat Anda mengarantina endpoint yang terhubung ke VPN, endpoint tersebut menjadi tidak dapat dijangkau. Anda tidak dapat mengirimkan reaksi ke Akhiri Karantina.
Solusi:
- Dapatkan akses fisik ke endpoint.
- Uninstal Klien EDR dari Add and Remove Programs.
- Instal ulang klien EDR.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Endpoint Unquarantine
Deskripsi
Membuat tugas endpoint unquarantine di server McAfee MVISION EDR berdasarkan entitas Nama Host atau Alamat IP Google SecOps.
Masalah Umum dari Trellix
Referensi: Masalah Umum Trellix EDR
Saat Anda mengarantina endpoint yang terhubung ke VPN, endpoint tersebut menjadi tidak dapat dijangkau. Anda tidak dapat mengirimkan reaksi ke Akhiri Karantina.
Solusi:
- Dapatkan akses fisik ke endpoint.
- Uninstal Klien EDR dari Add and Remove Programs.
- Instal ulang klien EDR.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Hapus File
Deskripsi
Menghapus file dari endpoint.
Masalah umum eksekusi tindakan
McAfee mungkin tidak menghapus file dan masih menampilkan di WebUI bahwa tindakan telah dieksekusi dengan berhasil. Masalah berikut dapat terkait dengan izin pada agen. Pastikan agen memiliki izin yang diperlukan, lalu coba lagi.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jalur File Lengkap | String | T/A | Ya | Tentukan jalur lengkap ke file yang ingin Anda hapus. |
| Penghapusan yang Aman | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, akan mengabaikan file yang mungkin penting atau tepercaya. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Menghentikan dan Menghapus Konten
Deskripsi
Hentikan proses interpreter berdasarkan PID, misalnya Python atau Bash, dan hapus skrip terkait berdasarkan jalur lengkap di McAfee MVISION EDR.
Masalah umum eksekusi tindakan
McAfee mungkin tidak menghapus atau menghentikan file terkait dan masih menampilkan di WebUI bahwa tindakan berhasil dieksekusi. Masalah berikut dapat terkait dengan izin pada agen. Pastikan agen memiliki izin yang diperlukan, lalu coba lagi.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| PID | Bilangan bulat | T/A | Ya | Tentukan PID interpreter. |
| Jalur File Lengkap | String | T/A | Ya | Tentukan jalur lengkap ke file yang ingin Anda hapus. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Menghentikan Proses
Deskripsi
Menghentikan proses yang sedang berjalan dan menghapus filenya. Jika proses tidak berjalan, filenya hanya akan dihapus dari endpoint terkelola.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jenis ID Proses | DDL | PID Nilai yang Mungkin:
|
Ya | Tentukan jenis ID proses yang akan digunakan. |
| ID Proses | String | T/A | Ya | Tentukan nilai untuk ID proses. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Tutup Ancaman
Deskripsi
Tutup ancaman di Trellix EDR.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Ancaman | String | T/A | Ya | Tentukan ID ancaman yang ingin Anda tutup. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Konektor
McAfee MVISION EDR - Threats Connector
Deskripsi
Ancaman Trellix EDR dapat diperbarui dengan deteksi baru seiring waktu. Saat ini, untuk memproses deteksi baru, Anda harus menutup ancaman tersebut. Dengan cara ini, Trellix EDR akan membuat ancaman baru dan ancaman tersebut akan di-ingest ke Google SecOps dengan deteksi baru tersebut. Dalam kasus lain, deteksi baru yang ditambahkan setelah penyerapan ancaman tidak akan tersedia di Google SecOps.
Mengonfigurasi McAfee MVISION EDR - Threats Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | eventType | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
Nama Kolom Lingkungan |
String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
Pola Regex Lingkungan |
String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://x.x.x.x | Ya | Root API server Trellix EDR. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun Trellix EDR. Catatan: Berikan parameter Client ID dan Client Secret atau Username dan Password. Jika kedua parameter diberikan, integrasi akan menggunakan parameter Client ID dan Client Secret untuk autentikasi. |
| Sandi | Sandi | T/A | Ya | Sandi akun Trellix EDR. Catatan: Berikan parameter Client ID dan Client Secret atau Username dan Password. Jika kedua parameter diberikan, integrasi akan menggunakan parameter ID Klien dan Rahasia Klien untuk autentikasi. |
| ID Klien | String | T/A | Tidak | ID klien akun Trellix EDR. Catatan: Berikan parameter Client ID dan Client Secret atau Username dan Password. Jika kedua parameter diberikan, integrasi akan menggunakan parameter Client ID dan Client Secret untuk autentikasi. |
| Rahasia Klien | Sandi | T/A | Tidak | Secret Key akun Trellix EDR. Catatan: Berikan parameter Client ID dan Client Secret atau Username dan Password. Jika kedua parameter diberikan, integrasi akan menggunakan parameter Client ID dan Client Secret untuk autentikasi. |
| Tingkat Keparahan Terendah yang Akan Diambil | String | Sedang | Ya | Tingkat keparahan terendah yang akan digunakan untuk mengambil ancaman. Nilai yang mungkin: Sedang Tinggi Kritis |
| Mengambil Mundur Jam Maksimum | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan ancaman. |
| Jumlah Maksimum Ancaman yang Akan Diambil | Bilangan bulat | 25 | Tidak | Jumlah ancaman yang akan diproses per iterasi konektor. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server cloud publik Trellix EDR valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan Konektor
Dukungan Proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.