McAfee MVISION EDR
Versão da integração: 8.0
Configurar a integração do McAfee MVISION EDR no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://<address>:<port> | Sim | Raiz da API do Trellix EDR. Observação:forneça o ID e a chave secreta do cliente ou os parâmetros de nome de usuário e senha. Se os dois parâmetros forem fornecidos, a integração usará o ID e a chave secreta do cliente para autenticação. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Trellix EDR. Observação:forneça o ID e a chave secreta do cliente ou os parâmetros de nome de usuário e senha. Se os dois parâmetros forem fornecidos, a integração usará o ID e a chave secreta do cliente para autenticação. |
| Senha | Senha | N/A | Sim | Senha da conta do Trellix EDR. Observação:forneça o ID e a chave secreta do cliente ou os parâmetros de nome de usuário e senha. Se os dois parâmetros forem fornecidos, a integração usará o ID e a chave secreta do cliente para autenticação. |
| ID do cliente | String | N/A | Não | ID do cliente da conta do Trellix EDR. Observação:forneça o ID e a chave secreta do cliente ou os parâmetros de nome de usuário e senha. Se os dois parâmetros forem fornecidos, a integração usará o ID e a chave secreta do cliente para autenticação. |
| Chave secreta do cliente | Senha | N/A | Não | Chave secreta do cliente da conta do Trellix EDR. Observação:forneça o ID e a chave secreta do cliente ou os parâmetros de nome de usuário e senha. Se os dois parâmetros forem fornecidos, a integração usará o ID e a chave secreta do cliente para autenticação. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o servidor de nuvem pública do Trellix EDR é válido. |
Como gerar ID e chave secreta do cliente
Para mais informações sobre como gerar o ID e a chave secreta do cliente, consulte o documento Integrações do McAfee MVISION EDR.
Casos de uso
- Ingira ameaças e detecções do Trellix EDR para criar alertas do Google SecOps. Em seguida, no Google SecOps, os alertas podem ser usados para fazer orquestrações com playbooks ou análises manuais.
- Realize ações de enriquecimento: receba dados do Trellix EDR para enriquecer dados nos alertas do Google SecOps.
- Realize ações ativas: coloque um host em quarentena usando o agente Trellix EDR do Google SecOps.
Ações
Ping
Descrição
Teste a conectividade com o Trellix EDR usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace do Google Security Operations".
Parâmetros
N/A
Casos de uso
A ação é usada para testar a conectividade na página de configuração da integração na guia "Marketplace" do Google Security Operations e pode ser executada como uma ação manual, não usada em playbooks.
Executar em
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Endpoint de enriquecimento
Descrição
Extrai as informações do sistema do endpoint pelo nome do host ou endereço IP.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"total": 9,
"skipped": 0,
"items": 1,
"hosts": [
{
"maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
"hostname": "AWS-LT-EDR1",
"os": {
"major": 10,
"minor": 0,
"build": 18362,
"sp": "",
"desc": "Windows 10"
},
"lastBootTime": "2020-02-24T21:41:38Z",
"netInterfaces": [
{
"name": "Ethernet 2",
"macAddress": "02:33:86:c2:6b:d4",
"ip": "10.0.3.212",
"type": 6
}
],
"traceExtendedVisibility": 0
}
]
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| MMV_EDR_maGuid | hosts/maGuid | Quando disponível em JSON |
| MMV_EDR_hostname | hosts/hostname | Quando disponível em JSON |
| MMV_EDR_OS | hosts/os/desc | Quando disponível em JSON |
| MMV_EDR_lastBootTime | hosts/lastBootTime | Quando disponível em JSON |
| MMV_EDR_certainty | hosts/certainty | Quando disponível em JSON |
| MMV_EDR_ips | Resultados separados por espaço/net_interfaces/ip | Quando disponível em JSON |
Insights
N/A
Endpoint de quarentena
Descrição
Crie uma tarefa de endpoint de quarentena no servidor Trellix EDR com base nas entidades de endereço IP ou nome do host do Google SecOps.
Problema conhecido da Trellix
Referência: Problemas conhecidos do Trellix EDR
Quando você coloca em quarentena um endpoint conectado a uma VPN, ele fica inacessível. Não é possível enviar a reação para "Acabar com a quarentena".
Alternativa:
- Obter acesso físico ao endpoint.
- Desinstale o cliente de EDR em "Adicionar e remover programas".
- Instale o cliente de EDR novamente.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Endpoint de remoção da quarentena
Descrição
Crie uma tarefa de endpoint de remoção da quarentena no servidor do McAfee MVISION EDR com base nas entidades de endereço IP ou nome do host do Google SecOps.
Problema conhecido da Trellix
Referência: Problemas conhecidos do Trellix EDR
Quando você coloca em quarentena um endpoint conectado a uma VPN, ele fica inacessível. Não é possível enviar a reação para "Acabar com a quarentena".
Alternativa:
- Obter acesso físico ao endpoint.
- Desinstale o cliente de EDR em "Adicionar e remover programas".
- Instale o cliente de EDR novamente.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Remover arquivo
Descrição
Remova um arquivo do endpoint.
Problema conhecido na execução de ações
A McAfee pode não remover arquivos e ainda mostrar na interface da Web que a ação foi executada com sucesso. O problema a seguir pode estar relacionado às permissões do agente. Verifique se o agente tem as permissões necessárias e tente de novo.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminho completo do arquivo | String | N/A | Sim | Especifique o caminho completo do arquivo que você quer remover. |
| Remoção segura | Caixa de seleção | Desmarcado | Sim | Se ativada, ignora arquivos que podem ser críticos ou confiáveis. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Interromper e remover conteúdo
Descrição
Interrompa o processo do interpretador por PID, por exemplo, Python ou Bash, e remova o script associado por caminho completo no McAfee MVISION EDR.
Problema conhecido na execução de ações
A McAfee pode não remover ou excluir arquivos associados e ainda mostrar na interface da Web que a ação foi executada com sucesso. O problema a seguir pode estar relacionado a permissões no agente. Verifique se o agente tem as permissões necessárias e tente de novo.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| PID | Número inteiro | N/A | Sim | Especifique o PID do interpretador. |
| Caminho completo do arquivo | String | N/A | Sim | Especifique o caminho completo do arquivo que você quer remover. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Encerrar processo
Descrição
Interrompe um processo em execução e remove o arquivo dele. Se o processo não estiver em execução, o arquivo será removido apenas do endpoint gerenciado.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de identificador do processo | DDL | PID Valores possíveis:
|
Sim | Especifique o tipo de identificador de processo a ser usado. |
| Identificador do processo | String | N/A | Sim | Especifique o valor do identificador do processo. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Dispensar ameaça
Descrição
Dispensar a ameaça no EDR da Trellix.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da ameaça | String | N/A | Sim | Especifique o ID da ameaça que você quer dispensar. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Conectores
Conector de ameaças do McAfee MVISION EDR
Descrição
As ameaças do Trellix EDR podem ser atualizadas com novas detecções ao longo do tempo. No momento, para processar novas detecções, você precisa dispensar a ameaça. Assim, o Trellix EDR vai criar uma nova ameaça, que será ingerida no Google SecOps com essas novas detecções. Em outros casos, novas detecções adicionadas após a ingestão da ameaça não estarão disponíveis no Google SecOps.
Configurar o conector de ameaças do McAfee MVISION EDR no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | eventType | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
Nome do campo de ambiente |
String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
Padrão de regex do ambiente |
String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://x.x.x.x | Sim | Raiz da API do servidor Trellix EDR. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Trellix EDR. Observação:forneça o ID e a chave secreta do cliente ou os parâmetros de nome de usuário e senha. Se os dois parâmetros forem fornecidos, a integração usará o ID e a chave secreta do cliente para autenticação. |
| Senha | Senha | N/A | Sim | Senha da conta do Trellix EDR. Observação:forneça o ID e a chave secreta do cliente ou os parâmetros de nome de usuário e senha. Se os dois parâmetros forem fornecidos, a integração usará o ID e a chave secreta do cliente para autenticação. |
| ID do cliente | String | N/A | Não | ID do cliente da conta do Trellix EDR. Observação:forneça o ID e a chave secreta do cliente ou os parâmetros de nome de usuário e senha. Se os dois parâmetros forem fornecidos, a integração usará o ID e a chave secreta do cliente para autenticação. |
| Chave secreta do cliente | Senha | N/A | Não | Chave secreta do cliente da conta do Trellix EDR. Observação:forneça o ID e a chave secreta do cliente ou os parâmetros de nome de usuário e senha. Se os dois parâmetros forem fornecidos, a integração usará o ID e a chave secreta do cliente para autenticação. |
| Menor gravidade a ser buscada | String | Médio | Sim | A gravidade mais baixa que será usada para buscar ameaças. Valores possíveis: Médio Alta Crítico |
| Voltar o tempo máximo | Número inteiro | 1 | Não | Número de horas de onde buscar ameaças. |
| Número máximo de ameaças a serem buscadas | Número inteiro | 25 | Não | Quantas ameaças processar por iteração de conector. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor de nuvem pública do Trellix EDR é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras de conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.