이 페이지는 Cloud Translation API를 통해 번역되었습니다.

McAfee MVISION EDR

통합 버전: 8.0

Google Security Operations에서 McAfee MVISION EDR 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 표시 이름	유형	기본값	필수 항목	설명
API 루트	문자열	https://<주소>:<포트>	예	Trellix EDR API 루트입니다. 참고: 클라이언트 ID와 클라이언트 보안 비밀번호 또는 사용자 이름과 비밀번호 매개변수를 제공합니다. 두 파라미터가 모두 제공되면 통합에서 인증에 클라이언트 ID 및 클라이언트 보안 비밀번호 파라미터를 사용합니다.
사용자 이름	문자열	해당 사항 없음	예	Trellix EDR 계정의 사용자 이름입니다. 참고: 클라이언트 ID와 클라이언트 보안 비밀번호 또는 사용자 이름과 비밀번호 매개변수를 제공합니다. 두 파라미터가 모두 제공되면 통합에서 인증에 클라이언트 ID 및 클라이언트 보안 비밀번호 파라미터를 사용합니다.
비밀번호	비밀번호	해당 사항 없음	예	Trellix EDR 계정의 비밀번호입니다. 참고: 클라이언트 ID와 클라이언트 보안 비밀번호 또는 사용자 이름과 비밀번호 매개변수를 제공합니다. 두 파라미터가 모두 제공되면 통합에서 인증에 클라이언트 ID 및 클라이언트 보안 비밀번호 파라미터를 사용합니다.
클라이언트 ID	문자열	해당 사항 없음	아니요	Trellix EDR 계정의 클라이언트 ID입니다. 참고: 클라이언트 ID와 클라이언트 보안 비밀번호 또는 사용자 이름과 비밀번호 매개변수를 제공합니다. 두 파라미터가 모두 제공되면 통합에서 인증에 클라이언트 ID 및 클라이언트 보안 비밀번호 파라미터를 사용합니다.
클라이언트 보안 비밀번호	비밀번호	해당 사항 없음	아니요	Trellix EDR 계정의 클라이언트 보안 비밀번호입니다. 참고: 클라이언트 ID와 클라이언트 보안 비밀번호 또는 사용자 이름과 비밀번호 매개변수를 제공합니다. 두 파라미터가 모두 제공되면 통합에서 인증에 클라이언트 ID 및 클라이언트 보안 비밀번호 파라미터를 사용합니다.
SSL 확인	체크박스	선택	예	사용 설정하면 Trellix EDR 퍼블릭 클라우드 서버에 대한 연결의 SSL 인증서가 유효한지 확인합니다.

클라이언트 ID 및 클라이언트 보안 비밀번호를 생성하는 방법

클라이언트 ID 및 클라이언트 보안 비밀번호를 생성하는 방법에 대한 자세한 내용은 McAfee MVISION EDR 통합 문서를 참고하세요.

사용 사례

Trellix EDR 위협 및 감지를 수집하여 Google SecOps 알림을 만드는 데 사용합니다. 그런 다음 Google SecOps에서 알림을 사용하여 플레이북이나 수동 분석으로 조정을 수행할 수 있습니다.
강화 작업 실행 - Trellix EDR에서 데이터를 가져와 Google SecOps 알림의 데이터를 강화합니다.
활성 작업 실행 - Google SecOps의 Trellix EDR 에이전트를 사용하여 호스트를 격리합니다.

작업

핑

설명

Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Trellix EDR에 대한 연결을 테스트합니다.

매개변수

해당 사항 없음

사용 사례

이 작업은 Google Security Operations Marketplace 탭의 통합 구성 페이지에서 연결을 테스트하는 데 사용되며 플레이북에 사용되지 않는 직접 조치로 실행될 수 있습니다.

실행

이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

N/A

항목 보강

해당 사항 없음

통계

해당 사항 없음

엔드포인트 보강

설명

호스트 이름 또는 IP 주소로 엔드포인트의 시스템 정보를 가져옵니다.

매개변수

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

IP 주소
호스트 이름

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

{
    "total": 9,
    "skipped": 0,
    "items": 1,
    "hosts": [
        {
            "maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
            "hostname": "AWS-LT-EDR1",
            "os": {
                "major": 10,
                "minor": 0,
                "build": 18362,
                "sp": "",
                "desc": "Windows 10"
            },
            "lastBootTime": "2020-02-24T21:41:38Z",
            "netInterfaces": [
                {
                    "name": "Ethernet 2",
                    "macAddress": "02:33:86:c2:6b:d4",
                    "ip": "10.0.3.212",
                    "type": 6
                }
            ],
            "traceExtendedVisibility": 0
        }
    ]
}

항목 보강

보강 필드 이름	소스(JSON 키)	로직 - 적용 시기
MMV_EDR_maGuid	hosts/maGuid	JSON으로 제공되는 경우
MMV_EDR_hostname	hosts/hostname	JSON으로 제공되는 경우
MMV_EDR_OS	hosts/os/desc	JSON으로 제공되는 경우
MMV_EDR_lastBootTime	hosts/lastBootTime	JSON으로 제공되는 경우
MMV_EDR_certainty	hosts/certainty	JSON으로 제공되는 경우
MMV_EDR_ips	공백으로 구분된 결과/net_interfaces/ip	JSON으로 제공되는 경우

통계

해당 사항 없음

엔드포인트 격리

설명

Google SecOps IP 주소 또는 호스트 이름 항목을 기반으로 Trellix EDR 서버에서 격리 엔드포인트 작업을 만듭니다.

Trellix의 알려진 문제

참조: Trellix EDR 알려진 문제

VPN에 연결된 엔드포인트를 격리하면 엔드포인트에 연결할 수 없게 됩니다. 격리 종료에 대한 반응을 보낼 수 없습니다.

해결 방법:

엔드포인트에 대한 물리적 액세스 권한을 얻습니다.
프로그램 추가/제거에서 EDR 클라이언트를 제거합니다.
EDR 클라이언트를 다시 설치합니다.

매개변수

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

IP 주소
호스트 이름

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

N/A

항목 보강

해당 사항 없음

통계

해당 사항 없음

엔드포인트 격리 해제

설명

Google SecOps IP 주소 또는 호스트 이름 항목을 기반으로 McAfee MVISION EDR 서버에서 격리 해제 엔드포인트 작업을 만듭니다.

Trellix의 알려진 문제

참조: Trellix EDR 알려진 문제

VPN에 연결된 엔드포인트를 격리하면 엔드포인트에 연결할 수 없게 됩니다. 격리 종료에 대한 반응을 보낼 수 없습니다.

해결 방법:

엔드포인트에 대한 물리적 액세스 권한을 얻습니다.
프로그램 추가/제거에서 EDR 클라이언트를 제거합니다.
EDR 클라이언트를 다시 설치합니다.

매개변수

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

IP 주소
호스트 이름

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

N/A

항목 보강

해당 사항 없음

통계

해당 사항 없음

파일 삭제

설명

엔드포인트에서 파일을 삭제합니다.

작업 실행 알려진 문제

McAfee가 파일을 삭제하지 않고 작업이 성공적으로 실행되었다고 WebUI에 계속 표시할 수 있습니다. 다음 문제는 에이전트의 권한과 관련이 있을 수 있습니다. 상담사에게 필요한 권한이 있는지 확인한 후 다시 시도하세요.

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
전체 파일 경로	문자열	해당 사항 없음	예	삭제할 파일의 전체 경로를 지정합니다.
안전한 삭제	체크박스	선택 해제	예	사용 설정된 경우 중요하거나 신뢰할 수 있는 파일을 무시합니다.

실행

이 작업은 다음 항목에서 실행됩니다.

IP 주소
호스트 이름

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

N/A

항목 보강

해당 사항 없음

통계

해당 사항 없음

콘텐츠 중지 및 삭제

설명

PID별로 인터프리터 프로세스(예: Python 또는 Bash)를 중지하고 McAfee MVISION EDR에서 전체 경로로 연결된 스크립트를 삭제합니다.

작업 실행 알려진 문제

McAfee가 연결된 파일을 삭제하거나 종료하지 않고도 작업이 성공적으로 실행되었다고 WebUI에 표시할 수 있습니다. 다음 문제는 에이전트의 권한과 관련이 있을 수 있습니다. 상담사에게 필요한 권한이 있는지 확인한 후 다시 시도하세요.

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
PID	정수	해당 사항 없음	예	인터프리터의 PID를 지정합니다.
전체 파일 경로	문자열	해당 사항 없음	예	삭제할 파일의 전체 경로를 지정합니다.

실행

이 작업은 다음 항목에서 실행됩니다.

IP 주소
호스트 이름

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

N/A

항목 보강

해당 사항 없음

통계

해당 사항 없음

프로세스 종료

설명

실행 중인 프로세스를 중지하고 해당 파일을 삭제합니다. 프로세스가 실행되고 있지 않으면 파일이 관리 엔드포인트에서 삭제됩니다.

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
프로세스 식별자 유형	DDL	PID 가능한 값은 다음과 같습니다. PID SHA256 이름 전체 경로	예	사용할 프로세스 식별자 유형을 지정합니다.
프로세스 식별자	문자열	해당 사항 없음	예	프로세스 식별자 값을 지정합니다.

매개변수 표시 이름

유형

기본값

필수 항목

설명

프로세스 식별자 유형

DDL

PID

가능한 값은 다음과 같습니다.

PID
SHA256
이름
전체 경로

예

사용할 프로세스 식별자 유형을 지정합니다.

프로세스 식별자

문자열

해당 사항 없음

예

프로세스 식별자 값을 지정합니다.

실행

이 작업은 다음 항목에서 실행됩니다.

IP 주소
호스트 이름

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

N/A

항목 보강

해당 사항 없음

통계

해당 사항 없음

위협 닫기

설명

Trellix EDR에서 위협을 닫습니다.

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
위협 ID	문자열	해당 사항 없음	예	해제할 위협의 ID를 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success:False

JSON 결과

N/A

항목 보강

해당 사항 없음

통계

해당 사항 없음

커넥터

McAfee MVISION EDR - 위협 커넥터

설명

시간이 지남에 따라 새로운 탐지를 통해 Trellix EDR 위협을 업데이트할 수 있습니다. 현재 새로운 감지를 처리하려면 위협을 닫아야 합니다. 이렇게 하면 Trellix EDR에서 새로운 위협을 생성하고 이러한 새로운 감지와 함께 Google SecOps에 수집됩니다. 다른 경우에는 위협이 수집된 후에 추가된 새로운 감지가 Google SecOps 내에서 제공되지 않습니다.

Google SecOps에서 McAfee MVISION EDR - Threats 커넥터 구성

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.

커넥터 매개변수

다음 매개변수를 사용하여 커넥터를 구성합니다.

매개변수 표시 이름	유형	기본값	필수 항목	설명
제품 필드 이름	문자열	제품 이름	예	제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
이벤트 필드 이름	문자열	eventType	예	이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
환경 필드 이름	문자열	""	아니요	환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다.
환경 정규식 패턴	문자열	.*	아니요	'환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
스크립트 제한 시간(초)	정수	180	예	현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다.
API 루트	문자열	https://x.x.x.x	예	Trellix EDR 서버의 API 루트입니다.
사용자 이름	문자열	해당 사항 없음	예	Trellix EDR 계정 사용자 이름입니다. 참고: 클라이언트 ID와 클라이언트 보안 비밀번호 또는 사용자 이름과 비밀번호 매개변수를 제공합니다. 두 파라미터가 모두 제공되면 통합에서 인증에 클라이언트 ID 및 클라이언트 보안 비밀번호 파라미터를 사용합니다.
비밀번호	비밀번호	해당 사항 없음	예	Trellix EDR 계정 비밀번호입니다. 참고: 클라이언트 ID와 클라이언트 보안 비밀번호 또는 사용자 이름과 비밀번호 매개변수를 제공합니다. 두 파라미터가 모두 제공되면 통합에서 인증에 클라이언트 ID 및 클라이언트 보안 비밀번호 파라미터를 사용합니다.
클라이언트 ID	문자열	해당 사항 없음	아니요	Trellix EDR 계정의 클라이언트 ID입니다. 참고: 클라이언트 ID와 클라이언트 보안 비밀번호 또는 사용자 이름과 비밀번호 매개변수를 제공합니다. 두 파라미터가 모두 제공되면 통합에서 인증에 클라이언트 ID 및 클라이언트 보안 비밀번호 파라미터를 사용합니다.
클라이언트 보안 비밀번호	비밀번호	해당 사항 없음	아니요	Trellix EDR 계정의 클라이언트 보안 비밀번호입니다. 참고: 클라이언트 ID와 클라이언트 보안 비밀번호 또는 사용자 이름과 비밀번호 매개변수를 제공합니다. 두 파라미터가 모두 제공되면 통합에서 인증에 클라이언트 ID 및 클라이언트 보안 비밀번호 파라미터를 사용합니다.
가져올 가장 낮은 심각도	문자열	보통	예	위협을 가져오는 데 사용할 가장 낮은 심각도입니다. 가능한 값: 정보 보통 높음 심각
최대 시간을 뒤로 가져오기	정수	1	아니요	위협을 가져올 위치로부터의 시간입니다.
가져올 최대 위협 수	정수	25	아니요	커넥터 반복당 처리할 위협 수입니다.
허용 목록을 차단 목록으로 사용	체크박스	선택 해제	예	사용 설정하면 허용 목록이 차단 목록으로 사용됩니다.
SSL 확인	체크박스	선택	예	사용 설정되면 Trellix EDR 퍼블릭 클라우드 서버에 대한 연결의 SSL 인증서가 유효한지 확인합니다.
프록시 서버 주소	문자열	해당 사항 없음	아니요	사용할 프록시 서버의 주소입니다.
프록시 사용자 이름	문자열	해당 사항 없음	아니요	인증할 프록시 사용자 이름입니다.
프록시 비밀번호	비밀번호	해당 사항 없음	아니요	인증할 프록시 비밀번호입니다.

커넥터 규칙

프록시 지원

커넥터가 프록시를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.