McAfee MVISION EDR
集成版本:8.0
在 Google Security Operations 中配置 McAfee MVISION EDR 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://<地址>:<端口> | 是 | Trellix EDR API 根。 注意:请提供客户端 ID 和客户端密钥参数,或用户名和密码参数。如果同时提供了这两个参数,集成会使用“客户端 ID”和“客户端密钥”参数进行身份验证。 |
| 用户名 | 字符串 | 不适用 | 是 | Trellix EDR 账号的用户名。 注意:请提供客户端 ID 和客户端密钥参数,或用户名和密码参数。如果同时提供了这两个参数,集成会使用“客户端 ID”和“客户端密钥”参数进行身份验证。 |
| 密码 | 密码 | 不适用 | 是 | Trellix EDR 账号的密码。 注意:请提供客户端 ID 和客户端密钥参数,或用户名和密码参数。如果同时提供了这两个参数,集成会使用“客户端 ID”和“客户端密钥”参数进行身份验证。 |
| 客户端 ID | 字符串 | 不适用 | 否 | Trellix EDR 账号的客户端 ID。 注意:请提供客户端 ID 和客户端密钥参数,或用户名和密码参数。如果同时提供了这两个参数,集成会使用“客户端 ID”和“客户端密钥”参数进行身份验证。 |
| 客户端密钥 | 密码 | 不适用 | 否 | Trellix EDR 账号的客户端密钥。 注意:请提供客户端 ID 和客户端密钥参数,或用户名和密码参数。如果同时提供了这两个参数,集成会使用“客户端 ID”和“客户端密钥”参数进行身份验证。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Trellix EDR 公有云服务器的连接的 SSL 证书是否有效。 |
如何生成客户端 ID 和客户端密钥
如需详细了解如何生成客户端 ID 和客户端密钥,请参阅 McAfee MVISION EDR 集成文档。
使用场景
- 提取 Trellix EDR 威胁和检测结果,以便使用它们创建 Google SecOps 提醒。接下来,在 Google SecOps 中,可以使用提醒通过 playbook 或手动分析来执行编排。
- 执行扩充操作 - 从 Trellix EDR 获取数据,以扩充 Google SecOps 提醒中的数据。
- 执行主动操作 - 使用 Google SecOps 中的 Trellix EDR 代理隔离主机。
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Trellix EDR 的连接。
参数
不适用
使用场景
此操作用于在 Google Security Operations Marketplace 标签页的集成配置页面中测试连接,并且可以作为手动操作执行,但不能在 playbook 中使用。
运行于
此操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
丰富端点
说明
按主机名或 IP 地址提取端点的系统信息。
参数
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"total": 9,
"skipped": 0,
"items": 1,
"hosts": [
{
"maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
"hostname": "AWS-LT-EDR1",
"os": {
"major": 10,
"minor": 0,
"build": 18362,
"sp": "",
"desc": "Windows 10"
},
"lastBootTime": "2020-02-24T21:41:38Z",
"netInterfaces": [
{
"name": "Ethernet 2",
"macAddress": "02:33:86:c2:6b:d4",
"ip": "10.0.3.212",
"type": 6
}
],
"traceExtendedVisibility": 0
}
]
}
实体扩充
| 扩充项字段名称 | 来源(JSON 密钥) | 逻辑 - 应用场景 |
|---|---|---|
| MMV_EDR_maGuid | 主机/maGuid | 以 JSON 格式提供时 |
| MMV_EDR_hostname | hosts/hostname | 以 JSON 格式提供时 |
| MMV_EDR_OS | 主机/操作系统/说明 | 以 JSON 格式提供时 |
| MMV_EDR_lastBootTime | hosts/lastBootTime | 以 JSON 格式提供时 |
| MMV_EDR_certainty | hosts/certainty | 以 JSON 格式提供时 |
| MMV_EDR_ips | 以空格分隔的结果/net_interfaces/ip | 以 JSON 格式提供时 |
数据分析
不适用
隔离端点
说明
根据 Google SecOps IP 地址或主机名实体,在 Trellix EDR 服务器上创建隔离端点任务。
Trellix 的已知问题
参考文档:Trellix EDR 已知问题
隔离连接到 VPN 的端点后,该端点将无法访问。您无法发送“结束隔离”回应。
临时解决方法:
- 获得对端点的物理访问权限。
- 通过“添加和删除程序”卸载 EDR 客户端。
- 重新安装 EDR 客户端。
参数
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
取消隔离端点
说明
根据 Google SecOps IP 地址或主机名实体,在 McAfee MVISION EDR 服务器上创建取消隔离端点任务。
Trellix 的已知问题
参考文档:Trellix EDR 已知问题
隔离连接到 VPN 的端点后,该端点将无法访问。您无法发送“结束隔离”回应。
临时解决方法:
- 获得对端点的物理访问权限。
- 通过“添加和删除程序”卸载 EDR 客户端。
- 重新安装 EDR 客户端。
参数
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
移除文件
说明
从端点中移除文件。
操作执行已知问题
McAfee 可能不会移除文件,但仍会在 Web 界面中显示操作已成功执行。以下问题可能与代理上的权限有关。 请验证代理是否拥有所需权限,然后重试。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 完整文件路径 | 字符串 | 不适用 | 是 | 指定要移除的文件的完整路径。 |
| 安全移除 | 复选框 | 尚未核查 | 是 | 如果启用,则忽略可能至关重要或受信任的文件。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
停止并移除内容
说明
通过 PID 停止解释器进程(例如 Python 或 Bash),并移除 McAfee MVISION EDR 上与完整路径关联的脚本。
操作执行已知问题
McAfee 可能不会移除或终止关联的文件,并且仍会在 WebUI 中显示操作已成功执行。以下问题可能与代理的权限有关。请验证代理是否拥有所需权限,然后重试。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| PID | 整数 | 不适用 | 是 | 指定解释器的 PID。 |
| 完整文件路径 | 字符串 | 不适用 | 是 | 指定要移除的文件的完整路径。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
终止进程
说明
停止正在运行的进程并移除其文件。如果该进程未运行,则只需从受管理的端点中移除其文件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 流程标识符类型 | DDL | PID 可能的值:
|
是 | 指定要使用的进程标识符类型。 |
| 进程标识符 | 字符串 | 不适用 | 是 | 指定进程标识符的值。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
关闭威胁
说明
在 Trellix EDR 中关闭威胁。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 威胁 ID | 字符串 | 不适用 | 是 | 指定要关闭的威胁的 ID。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
连接器
McAfee MVISION EDR - Threats 连接器
说明
Trellix EDR 威胁可以随着时间的推移通过新的检测进行更新。目前,为了处理新检测到的威胁,您需要关闭该威胁。 这样,Trellix EDR 将创建新的威胁,并将其与这些新检测结果一起提取到 Google SecOps 中。在其他情况下,在提取威胁后添加的新检测结果将无法在 Google SecOps 中使用。
在 Google SecOps 中配置 McAfee MVISION EDR - Threats 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | eventType | 是 | 输入源字段名称,以便检索事件字段名称。 |
环境字段名称 |
字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
环境正则表达式模式 |
字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://x.x.x.x | 是 | Trellix EDR 服务器的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Trellix EDR 账号用户名。 注意:请提供客户端 ID 和客户端密钥参数,或用户名和密码参数。如果同时提供了这两个参数,集成会使用“客户端 ID”和“客户端密钥”参数进行身份验证。 |
| 密码 | 密码 | 不适用 | 是 | Trellix EDR 账号密码。 注意:请提供客户端 ID 和客户端密钥参数,或用户名和密码参数。如果同时提供了这两个参数,集成会使用“客户端 ID”和“客户端密钥”参数进行身份验证。 |
| 客户端 ID | 字符串 | 不适用 | 否 | Trellix EDR 账号的客户端 ID。 注意:请提供客户端 ID 和客户端密钥参数,或用户名和密码参数。如果同时提供了这两个参数,集成会使用“客户端 ID”和“客户端密钥”参数进行身份验证。 |
| 客户端密钥 | 密码 | 不适用 | 否 | Trellix EDR 账号的客户端密钥。 注意:请提供客户端 ID 和客户端密钥参数,或用户名和密码参数。如果同时提供了这两个参数,集成会使用“客户端 ID”和“客户端密钥”参数进行身份验证。 |
| 要提取的最低严重程度 | 字符串 | 中 | 是 | 用于提取威胁的最低严重程度。 可能的值: 中 高 严重 |
| 提取回溯的小时数上限 | 整数 | 1 | 否 | 提取威胁的小时数。 |
| 要提取的最大威胁数 | 整数 | 25 | 否 | 每次连接器迭代要处理的威胁数量。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Trellix EDR 公有云服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。