McAfee MVISION EDR
整合版本:8.0
在 Google Security Operations 中設定 McAfee MVISION EDR 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://<address>:<port> | 是 | Trellix EDR API 根層級。 注意:請提供 Client ID 和 Client Secret,或 Username 和 Password 參數。如果同時提供這兩個參數,整合服務會使用「用戶端 ID」和「用戶端密碼」參數進行驗證。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Trellix EDR 帳戶的使用者名稱。 注意:請提供 Client ID 和 Client Secret,或 Username 和 Password 參數。如果同時提供這兩個參數,整合服務會使用「用戶端 ID」和「用戶端密碼」參數進行驗證。 |
| 密碼 | 密碼 | 不適用 | 是 | Trellix EDR 帳戶的密碼。 注意:請提供 Client ID 和 Client Secret,或 Username 和 Password 參數。如果同時提供這兩個參數,整合服務會使用「用戶端 ID」和「用戶端密碼」參數進行驗證。 |
| 用戶端 ID | 字串 | 不適用 | 否 | Trellix EDR 帳戶的用戶端 ID。 注意:請提供 Client ID 和 Client Secret,或 Username 和 Password 參數。如果同時提供這兩個參數,整合服務會使用「用戶端 ID」和「用戶端密碼」參數進行驗證。 |
| 用戶端密鑰 | 密碼 | 不適用 | 否 | Trellix EDR 帳戶的用戶端密鑰。 注意:請提供 Client ID 和 Client Secret,或 Username 和 Password 參數。如果同時提供這兩個參數,整合服務會使用「用戶端 ID」和「用戶端密碼」參數進行驗證。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,系統會驗證連線至 Trellix EDR 公有雲伺服器的 SSL 憑證是否有效。 |
如何產生用戶端 ID 和用戶端密鑰
如要進一步瞭解如何產生用戶端 ID 和用戶端密鑰,請參閱「McAfee MVISION EDR Integrations」文件。
應用實例
- 擷取 Trellix EDR 威脅和偵測結果,用於建立 Google SecOps 快訊。接著,您可以在 Google SecOps 中使用快訊,透過應對手冊或手動分析執行協調作業。
- 執行擴充動作 - 從 Trellix EDR 取得資料,擴充 Google SecOps 快訊中的資料。
- 執行主動動作 - 使用 Trellix EDR 代理程式從 Google SecOps 隔離主機。
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Trellix EDR 的連線。
參數
不適用
應用實例
這項動作用於在 Google Security Operations Marketplace 分頁的整合設定頁面中測試連線,可做為手動動作執行,但不會用於應對手冊。
執行時間
這項動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
充實端點
說明
依主機名稱或 IP 位址擷取端點的系統資訊。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"total": 9,
"skipped": 0,
"items": 1,
"hosts": [
{
"maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
"hostname": "AWS-LT-EDR1",
"os": {
"major": 10,
"minor": 0,
"build": 18362,
"sp": "",
"desc": "Windows 10"
},
"lastBootTime": "2020-02-24T21:41:38Z",
"netInterfaces": [
{
"name": "Ethernet 2",
"macAddress": "02:33:86:c2:6b:d4",
"ip": "10.0.3.212",
"type": 6
}
],
"traceExtendedVisibility": 0
}
]
}
實體擴充
| 補充資料欄位名稱 | 來源 (JSON 金鑰) | 邏輯 - 應用時機 |
|---|---|---|
| MMV_EDR_maGuid | hosts/maGuid | 以 JSON 格式提供時 |
| MMV_EDR_hostname | hosts/hostname | 以 JSON 格式提供時 |
| MMV_EDR_OS | hosts/os/desc | 以 JSON 格式提供時 |
| MMV_EDR_lastBootTime | hosts/lastBootTime | 以 JSON 格式提供時 |
| MMV_EDR_certainty | hosts/certainty | 以 JSON 格式提供時 |
| MMV_EDR_ips | 以空格分隔的結果/net_interfaces/ip | 以 JSON 格式提供時 |
深入分析
不適用
隔離端點
說明
根據 Google SecOps IP 位址或主機名稱實體,在 Trellix EDR 伺服器上建立隔離端點工作。
Trellix 已知問題
參考資料:Trellix EDR 已知問題
隔離連線至 VPN 的端點後,該端點就會無法連線。你無法對「結束隔離」傳送回應。
解決方法:
- 取得端點的實體存取權。
- 從「新增/移除程式」解除安裝 EDR 用戶端。
- 重新安裝 EDR 用戶端。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
取消隔離端點
說明
根據 Google SecOps IP 位址或主機名稱實體,在 McAfee MVISION EDR 伺服器上建立解除隔離端點工作。
Trellix 已知問題
參考資料:Trellix EDR 已知問題
隔離連線至 VPN 的端點後,該端點就會無法連線。你無法對「結束隔離」傳送回應。
解決方法:
- 取得端點的實體存取權。
- 從「新增/移除程式」解除安裝 EDR 用戶端。
- 重新安裝 EDR 用戶端。
參數
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
移除檔案
說明
從端點移除檔案。
動作執行已知問題
McAfee 可能不會移除檔案,但 WebUI 仍會顯示動作已順利執行。下列問題可能與代理程式的權限有關。 請確認代理程式具備必要權限,然後再試一次。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 完整檔案路徑 | 字串 | 不適用 | 是 | 指定要移除檔案的完整路徑。 |
| 安全移除 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會忽略可能重要或可信任的檔案。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
停止並移除內容
說明
透過 PID 停止解譯器程序 (例如 Python 或 Bash),並在 McAfee MVISION EDR 上依完整路徑移除相關聯的指令碼。
動作執行已知問題
McAfee 可能不會移除或終止相關聯的檔案,且仍會在 WebUI 中顯示動作已成功執行。下列問題可能與代理程式的權限有關。請確認代理程式具備必要權限,然後再試一次。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| PID | 整數 | 不適用 | 是 | 指定解譯器的 PID。 |
| 完整檔案路徑 | 字串 | 不適用 | 是 | 指定要移除檔案的完整路徑。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
終止程序
說明
停止執行中的程序並移除其檔案。如果程序未執行,系統只會從受管理端點移除檔案。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 程序 ID 類型 | DDL | PID 可能的值:
|
是 | 指定要使用的程序 ID 類型。 |
| 程序 ID | 字串 | 不適用 | 是 | 指定程序 ID 的值。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
關閉威脅
說明
在 Trellix EDR 中關閉威脅。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 威脅 ID | 字串 | 不適用 | 是 | 指定要排除的威脅 ID。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
連接器
McAfee MVISION EDR - Threats Connector
說明
Trellix EDR 威脅會隨著時間更新,並加入新的偵測結果。目前,如要處理新的偵測結果,您必須先解除威脅。這樣 Trellix EDR 就會建立新的威脅,並將這些新偵測結果擷取到 Google SecOps 中。在其他情況下,Google SecOps 不會提供在擷取威脅後新增的偵測結果。
在 Google SecOps 中設定 McAfee MVISION EDR - Threats Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | eventType | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
環境欄位名稱 |
字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
環境規則運算式模式 |
字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://x.x.x.x | 是 | Trellix EDR 伺服器的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Trellix EDR 帳戶使用者名稱。 注意:請提供 Client ID 和 Client Secret,或 Username 和 Password 參數。如果同時提供這兩個參數,整合服務會使用「用戶端 ID」和「用戶端密碼」參數進行驗證。 |
| 密碼 | 密碼 | 不適用 | 是 | Trellix EDR 帳戶密碼。 注意:請提供 Client ID 和 Client Secret,或 Username 和 Password 參數。如果同時提供這兩個參數,整合服務會使用「用戶端 ID」和「用戶端密碼」參數進行驗證。 |
| 用戶端 ID | 字串 | 不適用 | 否 | Trellix EDR 帳戶的用戶端 ID。 注意:請提供 Client ID 和 Client Secret,或 Username 和 Password 參數。如果同時提供這兩個參數,整合服務會使用「用戶端 ID」和「用戶端密碼」參數進行驗證。 |
| 用戶端密鑰 | 密碼 | 不適用 | 否 | Trellix EDR 帳戶的用戶端密鑰。 注意:請提供 Client ID 和 Client Secret,或 Username 和 Password 參數。如果同時提供這兩個參數,整合服務會使用「用戶端 ID」和「用戶端密碼」參數進行驗證。 |
| 要擷取的最低嚴重程度 | 字串 | 中 | 是 | 用於擷取威脅的最低嚴重程度。 可能的值: 中 高 重大 |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取威脅的小時數。 |
| 要擷取的威脅數量上限 | 整數 | 25 | 否 | 每個連接器疊代要處理的威脅數量。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用這項設定,請確認連線至 Trellix EDR 公有雲伺服器的 SSL 憑證是否有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。