McAfee MVISION EDR
Versione integrazione: 8.0
Configurare l'integrazione di McAfee MVISION EDR in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://<address>:<port> | Sì | Root API Trellix EDR. Nota:fornisci i parametri ID client e client secret oppure nome utente e password. Se vengono forniti entrambi i parametri, l'integrazione utilizza i parametri ID client e Client secret per l'autenticazione. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Trellix EDR. Nota:fornisci i parametri ID client e client secret oppure nome utente e password. Se vengono forniti entrambi i parametri, l'integrazione utilizza i parametri ID client e Client secret per l'autenticazione. |
| Password | Password | N/D | Sì | Password dell'account Trellix EDR. Nota:fornisci i parametri ID client e client secret oppure nome utente e password. Se vengono forniti entrambi i parametri, l'integrazione utilizza i parametri ID client e Client secret per l'autenticazione. |
| ID client | Stringa | N/D | No | ID client dell'account Trellix EDR. Nota:fornisci i parametri ID client e client secret oppure nome utente e password. Se vengono forniti entrambi i parametri, l'integrazione utilizza i parametri ID client e Client secret per l'autenticazione. |
| Client secret | Password | N/D | No | Client secret dell'account Trellix EDR. Nota:fornisci i parametri ID client e client secret oppure nome utente e password. Se vengono forniti entrambi i parametri, l'integrazione utilizza i parametri ID client e Client secret per l'autenticazione. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitata, verifica che il certificato SSL per la connessione al server cloud pubblico Trellix EDR sia valido. |
Come generare l'ID client e il client secret
Per saperne di più su come generare l'ID client e il client secret, consulta il documento Integrazioni McAfee MVISION EDR.
Casi d'uso
- Importa minacce e rilevamenti di Trellix EDR per utilizzarli per creare avvisi Google SecOps. Successivamente, in Google SecOps, gli avvisi possono essere utilizzati per eseguire orchestrazioni con playbook o analisi manuali.
- Esegui azioni di arricchimento: ottieni dati da Trellix EDR per arricchire i dati negli avvisi di Google SecOps.
- Eseguire azioni attive: mettere in quarantena un host utilizzando l'agente Trellix EDR da Google SecOps.
Azioni
Dindin
Descrizione
Verifica la connettività a Trellix EDR con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Casi d'uso
L'azione viene utilizzata per testare la connettività nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace e può essere eseguita come azione manuale, non utilizzata nei playbook.
Run On
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Endpoint Enrich
Descrizione
Recupera le informazioni di sistema dell'endpoint in base al nome host o all'indirizzo IP.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"total": 9,
"skipped": 0,
"items": 1,
"hosts": [
{
"maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
"hostname": "AWS-LT-EDR1",
"os": {
"major": 10,
"minor": 0,
"build": 18362,
"sp": "",
"desc": "Windows 10"
},
"lastBootTime": "2020-02-24T21:41:38Z",
"netInterfaces": [
{
"name": "Ethernet 2",
"macAddress": "02:33:86:c2:6b:d4",
"ip": "10.0.3.212",
"type": 6
}
],
"traceExtendedVisibility": 0
}
]
}
Arricchimento delle entità
| Nome campo di arricchimento | Origine (chiave JSON) | Logica - Quando applicarla |
|---|---|---|
| MMV_EDR_maGuid | hosts/maGuid | Quando disponibile in formato JSON |
| MMV_EDR_hostname | hosts/hostname | Quando disponibile in formato JSON |
| MMV_EDR_OS | hosts/os/desc | Quando disponibile in formato JSON |
| MMV_EDR_lastBootTime | hosts/lastBootTime | Quando disponibile in formato JSON |
| MMV_EDR_certainty | hosts/certainty | Quando disponibile in formato JSON |
| MMV_EDR_ips | Risultati separati da spazi/net_interfaces/ip | Quando disponibile in formato JSON |
Approfondimenti
N/D
Endpoint di quarantena
Descrizione
Crea un'attività di endpoint di quarantena sul server Trellix EDR in base alle entità Indirizzo IP o nome host di Google SecOps.
Problema noto di Trellix
Riferimento: Trellix EDR Known Issues
Quando metti in quarantena un endpoint connesso a una VPN, l'endpoint diventa irraggiungibile. Non puoi inviare la reazione a Termina la quarantena.
Soluzione temporanea:
- Ottieni l'accesso fisico all'endpoint.
- Disinstalla il client EDR da Installazione applicazioni.
- Installa di nuovo il client EDR.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Endpoint di rimozione dalla quarantena
Descrizione
Crea un'attività di annullamento della quarantena dell'endpoint sul server McAfee MVISION EDR in base alle entità Indirizzo IP o nome host di Google SecOps.
Problema noto di Trellix
Riferimento: Trellix EDR Known Issues
Quando metti in quarantena un endpoint connesso a una VPN, l'endpoint diventa irraggiungibile. Non puoi inviare la reazione a Termina la quarantena.
Soluzione temporanea:
- Ottieni l'accesso fisico all'endpoint.
- Disinstalla il client EDR da Installazione applicazioni.
- Installa di nuovo il client EDR.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Rimuovi file
Descrizione
Rimuovere un file dall'endpoint.
Problema noto di esecuzione dell'azione
McAfee potrebbe non rimuovere i file e mostrare comunque nella WebUI che l'azione è stata eseguita correttamente. Il seguente problema può essere correlato alle autorizzazioni dell'agente. Verifica che l'agente disponga delle autorizzazioni necessarie e riprova.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Percorso file completo | Stringa | N/D | Sì | Specifica il percorso completo del file che vuoi rimuovere. |
| Rimozione sicura | Casella di controllo | Deselezionata | Sì | Se attivata, ignora i file che potrebbero essere critici o attendibili. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Interrompi e rimuovi i contenuti
Descrizione
Arresta il processo dell'interprete per PID, ad esempio Python o Bash, e rimuovi lo script associato per percorso completo su McAfee MVISION EDR.
Problema noto di esecuzione dell'azione
McAfee potrebbe non rimuovere o eliminare i file associati e mostrare comunque nella GUI web che l'azione è stata eseguita correttamente. Il seguente problema può essere correlato alle autorizzazioni dell'agente. Verifica che l'agente disponga delle autorizzazioni necessarie e riprova.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| PID | Numero intero | N/D | Sì | Specifica il PID dell'interprete. |
| Percorso file completo | Stringa | N/D | Sì | Specifica il percorso completo del file che vuoi rimuovere. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Termina processo
Descrizione
Interrompi un processo in esecuzione e rimuovi il relativo file. Se il processo non è in esecuzione, il relativo file viene semplicemente rimosso dall'endpoint gestito.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tipo di identificatore processo | DDL | PID Valori possibili:
|
Sì | Specifica il tipo di identificatore di processo da utilizzare. |
| Identificatore processo | Stringa | N/D | Sì | Specifica il valore dell'identificatore del processo. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Ignora minaccia
Descrizione
Ignora la minaccia in Trellix EDR.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID minaccia | Stringa | N/D | Sì | Specifica l'ID della minaccia che vuoi ignorare. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Connettori
McAfee MVISION EDR - Threats Connector
Descrizione
Le minacce Trellix EDR possono essere aggiornate con nuove rilevazioni nel tempo. Al momento, per elaborare nuove rilevazioni, devi ignorare la minaccia. In questo modo Trellix EDR creerà una nuova minaccia che verrà inserita in Google SecOps con i nuovi rilevamenti. In altri casi, le nuove rilevazioni aggiunte dopo l'importazione della minaccia non saranno disponibili in Google SecOps.
Configura il connettore McAfee MVISION EDR - Threats in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | eventType | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
Nome campo ambiente |
Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
Pattern regex dell'ambiente |
Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://x.x.x.x | Sì | Radice API del server Trellix EDR. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Trellix EDR. Nota:fornisci i parametri ID client e client secret oppure nome utente e password. Se vengono forniti entrambi i parametri, l'integrazione utilizza i parametri ID client e Client secret per l'autenticazione. |
| Password | Password | N/D | Sì | Password dell'account Trellix EDR. Nota:fornisci i parametri ID client e client secret oppure nome utente e password. Se vengono forniti entrambi i parametri, l'integrazione utilizza i parametri ID client e Client secret per l'autenticazione. |
| ID client | Stringa | N/D | No | ID client dell'account Trellix EDR. Nota:fornisci i parametri ID client e client secret oppure nome utente e password. Se vengono forniti entrambi i parametri, l'integrazione utilizza i parametri ID client e Client secret per l'autenticazione. |
| Client secret | Password | N/D | No | Client secret dell'account Trellix EDR. Nota:fornisci i parametri ID client e client secret oppure nome utente e password. Se vengono forniti entrambi i parametri, l'integrazione utilizza i parametri ID client e Client secret per l'autenticazione. |
| Gravità minima da recuperare | Stringa | Media | Sì | Gravità minima che verrà utilizzata per recuperare le minacce. Valori possibili: Media Alta Critico |
| Recupero ore massime a ritroso | Numero intero | 1 | No | Quantità di ore da cui recuperare le minacce. |
| Numero massimo di minacce da recuperare | Numero intero | 25 | No | Il numero di minacce da elaborare per un'iterazione del connettore. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server cloud pubblico Trellix EDR sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.